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نشاط التدريب العملي - مراقب البرمجيات» إخفاء ا معلومات 00 OE‏ 
تمرين التفكير النقدي: تحديد الأبعاد الثلاثة لأمن المعلومات المتأثرة بعينة من حوادث 
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أدوات إدارة النظام ME‏ | 
الملاخص 0 ز ز ز ز ز ز 0 
نموذج حالة- تي جي ماكس aes (TJ. MAXX)‏ " 
أسئلة مراجعة للفصل Ku au a E‏ 
أسئلة على نموذج الحالة e —À‏ 
نشاط التدريب العماي - تثبيت نظام لينكس اا E‏ 
تمرين التفكير النقدي - الحكم بالسجن على مديرين تنفيذين في شركة جوجل بسبب 
فيديو ÀÁ‏ ا ا ا ieee‏ لا 
تصميم حالة ااا eV‏ 
الفصل الثالث: إدارة النظام (الجزء الثاني) u.c‏ 
نظرة عامة NIY. sain aS‏ 
هيكلة نظام التشغيل I MEC T TE‏ 
واجهة سطر الأوامر IE alana (command-lineinterface)‏ 
ا ملفات والأدلة IL sea‏ 
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ملكية ا ملف 10001 1 ز 1 ET aa‏ 
تحرير ا ملفات 00 0 0 ا 0 
تثبيت البرمجيات والتحديثات RSS‏ 00 
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نشاط التدريب العملي -الإدارة الأساسية لنظام لينكس I E‏ 
تمرين التفكير النقدي - عمليات التأثير الإلكتروني الهجومية E (OCEO)‏ 
تصميم حالة EE‏ ا 
الفصل الرابع: النموذج الأساسي لأمن ال معلومات DUI a n GE‏ 
نظرة عامة lois‏ اا VY E‏ 
مقدمة MAC cene cpu aw ML M MEE INI EMEN ME‏ 
مكونات النموذج الأساسي لأمن المعلومات 1 1 p A,‏ 
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تصميم حالة — E‏ ا E‏ 
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مقدمة حول الأصول E MERCREDI‏ 
تحديد الأصول الهامة للمنظمة اي ةي ة d Mer‏ 
أنواع الأصول Aa‏ 1 
التعرف على خصائص الأصول اي a‏ د o MN ROREM‏ 
دورة حياة أصول تقنية المعلومات وتحديد الأصول R‏ ا ا O‏ 
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أسئلة مراجعة للفصل e E E‏ 
أسئلة على نموذج الحالة KON donn 1 1 1 E a‏ 
نشاط التدريب العماي - تحديد أصول المقررات الدراسية VON Acti‏ 
تمرين التفكير النقدي - استخدامات جهاز حاسب آلي مخترق AL MM‏ 
تصميم حالة a MEC‏ 
الفصل السادس: التهديدات والثغرات الأمنية 11 1 PTO‏ 
نظرة عامة x SS‏ 
مقدمة EEEE‏ 2 2 2 1212 12 12 2 ا ا ا 
نماذج التهديدات nn EP‏ 
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تصميم حالة 01000000 1 1 ا ا 
الفصل الثامن: إدارة الهوية والوصول 0 0 E‏ 
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إدارة الهوية ———————-- X"‏ 
إدارة الوصول 0 ا 
امصادقة m MNT (Authentication)‏ 
تسجيل الدخول الأحادي ENN ssl (Singlesign-on)‏ 
الرابطة الاتحادية A O (Federation)‏ ا EPA‏ 
نموذج حالة - ماركوس هس CE. SRA (Markus Hess)‏ 
الملخص Mee‏ 11 
أسئلة مراجعة للفصل CE A uc O LM IE M LI D I‏ 
أسئلة على نموذج الحالة NNNM ARENA NNI ORE UNUU.‏ ا 
نشاط التدريب العملي - تطابق الهوية والدمج لماوع 
5 التفكير النقدي -إقطاعية الحلول الأمنية للإنترنت؟ OT UR‏ 
تصميم حالة EK‏ :2 
الفصل التاسع: الضوابط الأمنية باستخدام المكونات المادية والبرمجيات CV essen‏ 
نظرة عامة d MEE‏ 
إدارة كلمات ال مرور 1-8 00021211021212 A V E E EAE‏ 
J‏ لتحكم à‏ الوصول (AccessControl)‏ ا —— ———————— EVE‏ 
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نشاط التدريب العملي - أساسيات البرمجة النصية c LM OPER‏ 
تمرين التفكير النقدي-أمن النص البرمجي OVO pP RUNE OMS‏ 
تصميم حالة 0 1 1 1 a MN‏ 
الفصل الحادي عشر: التعامل مع الحوادث الأمنية BUR. a 1 m s odia‏ 
5,55 عامة t cM MM‏ 
مقدمة عن الحوادث الأمنية OV AE E EE‏ 
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الكارثة TAE aa A A E‏ 
نموذج حالة - قرصنة ف الحرم الجامعي DIM UMS‏ ا اه 
الملخص MMC‏ 
أسئلة مراجعة للفصل E MEME NNI MINIM MEM‏ 
أسئلة على نموذج الحالة TER‏ ا E‏ 
blis‏ التدريب العملي - الجدول الزمني للحوادث الأمنية باستخدام PY — eee (OSSEC)‏ 
تمرين التفكير النقدي-الهدم في إدارة التنمية الاقتصادية YF aneha‏ 
تصميم حالة S‏ ا اك 
الفصل الثاني عشر: تحليل الحوادث الأمنية RTT‏ 
نظرة عامة 5 
تحليل السجل nha T N O A SR‏ 
أهمية الحدث E o A‏ ا AO ETE AAN N‏ اا ل 
التهيئة العامة للسجل وال محافظة عليه j^ CN eT‏ 
الاستجابة المباشرة للحوادث الأمنية 0 1 1 1 1 1 1 1 1 1 RE‏ 
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موضوعات ذات علاقة بأدلة التحليل الجنائي —M‏ 


نموذج حالة - اختراق الخادم الاحتياطي —— 


أسئلة مراجعة للفصل 000000 5121# 


أسئلة على نموذج الحالة O‏ 


نشاط التدريب العملي - تحليل سجل الخادم Tp:‏ 


تمرين التفكير النقدي -الهدم في إدارة التنمية الاقتصادية e‏ 


كتابة السياسات —————e‏ 


تقييم الأثر والتدقيق 079 —— — 


موضوعات رئيسية ذات علاقة بالسياسات m‏ 
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الفصل الرابع عشر: تحليل مخاطر تقنية ا معلومات وإدارة ال مخاطر VI asas‏ 
نظرة عامة i2) sss‏ 
مقدمة EM EM UM RI‏ ل 
إدارة ا مخاطر بوصفها عنصر من عناصر الإدارة التنظيمية VEE E 1 1 amm‏ 
نماذج إدارة ا مخاطر 000000000 VIV MM‏ 
نموذج إدارة ا مخاطر التابع للمعهد الوطني للتقنية وا معايير ) 39 -800 VIA sisse (NIST‏ 
تقييم ا مخاطر E RM‏ ا BN‏ 
نماذج إدارة المخاطر الأخرى اا ااا Ut‏ 
الضوابط العامة لتقنية المعلومات لوو و ود و ل 8 13 48 l'as posritis‏ 
الامتثال في مقابلإدارة ا مخاطر VIA. SLES Î‏ 
الترويج للأمن VPI eieren 0 RAN‏ 
es‏ حالة - الشراء من أسواق الإنترنت 0 00 0 Yen‏ 
الملخص VE RC"‏ 
أسئلة مراجعة للفصل VE a E A E E E‏ 
أسئلة على نموذج الحالة 000000 0 0 0 0 VEE‏ 
نشاط التدريب العملي - تقييم المخاطر باستخدام الأمر iia (sof)‏ 0 ا VEE‏ 
تمرين التفكير النقدي - تقديرات المخاطر اممتحيزة MEM. asasî‏ 
تصميم حالة ا 0000101 0 0 VER.‏ 
ملحق أ: قائمة بكلمات المرور لآلة لينكس الافتراضية 001 VE‏ 
المصطلحات ASRS‏ لفل لوو ماقو ل ا VOR‏ 
كشاف موضوعات الكتاب VE a a a a a‏ 
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شكل (١-١):تصنيف‏ وظائف محللي أمن المعلومات cm‏ 


شكل QV)‏ المراكز الأربعة الأولى للأنشطة التي تستغرق وقتاًطويلاًلموظفي أمن المعلومات PY and‏ 
شكل (Y- Y)‏ الاحتياجات التدريبية طموظفي أمن المعلومات MTS‏ 
شكل :)٤-۱(‏ فيروس eme ILOVEYOU‏ 
شكل (0-1): أحد محلات تي جي ماكس o Ü (TJ.Maxx)‏ 
شكل :)1-١(‏ الموقع الإلكتروني لوزارة الخارجية الجورجية بعد هجمات حجب الخدمة Ej sajar‏ 
شكل (V-Y)‏ مكاتب شركة جوجل في الصين OE RET‏ 
شكل :)۸-١(‏ مراقب البرمجيات الفوري MR RR‏ 
شكل :)1-١(‏ تقريرتدقيق جهاز الحاسب الآلي ox Mp EE‏ 
شكل (١-١٠):محتويات‏ مجلد التنزيلات لتمرين إخفاء المعلومات OV cusses‏ 
US‏ (۱۱-۱): أوامر إخفاء ملف نصي في نهاية ملفات الصور ON entrent‏ 
شكل :(VY- V)‏ الصور المعالجة مع الصور الأصلية O Sasa‏ 
شكل :(Y- V)‏ فتح ملفات الصور في برنامج ا مفكرة lo MM RES Notepad‏ 
شكل :)١5-١(‏ الرسالة السرية المخفية في نهاية ملف الصورة Ie aee e‏ 
شكل :(Y0- Y)‏ مصادر الدخل في جامعة ولاية الشمس المشرقة A mm‏ | 


شكل (VV- V)‏ ملخص للهيكل التنظيمي لجامعة ولاية الشمس المشرقة Os‏ | 


c سيجليا‎ Job: V-Y) JS o 
COMM Y W شكل (۲-۲):استخدام أجهزة الحاسب الآلي المكتبية لأنظمة ويندوز-أبريل‎ 
e شكل (7-"): مدير عمليات مركز النظام‎ 
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شكل :(£-Y)‏ شجرة عائلة ينكس AE. esa aS‏ 
شكل (0-7): ألبرت غونزاليسء في وقت توجيه الاتهام إليه في أغسطس W tms ٠٠١5‏ 
شكل )1-0( مبيعات تي جي ماكس )40 cu MR RETE (Y V-Y*‏ 
شكل (۷-۲):هيكلة الآلة الافتراضية O E E‏ 
شكل :(A-Y)‏ صفحة تحميل (VirtualBox)Jl‏ 000 انان 
شكل (A-Y)‏ الصفحة الترحيبية HU uen E (VirtualBox) J cuit‏ 
شكل :)٠١-7(‏ موقع التثبيت الافتراضي E E E E E‏ 
شكل (۱۱-۲): تأكيد تثبيت A 0 (VirtualBox) Jl‏ 
شكل (YY-Y)‏ مدير الصندوق الظاهري SR. oinnes (VirtualBoxmanager)‏ 
شكل (W-Y)‏ الإعدادات الافتراضية لاستيراد نظام التشغيل aia‏ ل 
شكل (6-7١):الآلة‏ الافتراضية في مدير الصند وق الافتراضي 0000000 
شكل (10-7١):خطأ‏ في وحدة المعالجة المركزية c: ceo‏ 
شكل :(V1-Y)‏ تمكين J sexe‏ الشبكة c. M (enable PAE checkbox)‏ 
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شكل (A-Y)‏ شاشة الدخول للآلة الافتراضية سينتوس M M CE‏ 
شكل (۱۹-۲): سطح ال مكتب لسنتوس لينكس T NEC‏ 
شكل (Y *-Y)‏ البنية التحتية للبريد الإلكتروني في جامعة ولاية الشمس المشرقة ال اا 
شكل (7-١):هيكلة‏ نظام التشغيل e O AAE ERN RRS‏ ا 
شكل Joco JI: (Y-Y)‏ إلى نافذة موجه الأوامر VIO. vedete Ms Re Ufo‏ 
JS‏ (۳-۳): التسلسل الهرمي للملفات في نظام ينكس iM‏ 


MW‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


قائمة الأشكال 


شكل :(£-Y)‏ واجهة البرنامج التعليمي I: (vimtutor)‏ 
شكل (0-7): الوصول مدير ال مستخد مين وا مجموعات ل ا ا VOY‏ 
شكل (1-7):إضافة مستخدم الولو و ا وس لم ول SOV‏ 
شكل :)1١-8(‏ مدير ا مجموعة ْ00-ببب-ب001 0 ا p‏ 
شكل (٤-١):النموذج‏ الأساسي لأمن المعلومات \VY Aa cm‏ 


شكل (5-6): مثال على قاثمة التعرض والثغرات الشائعة (محدثة في تاريخ إعداد هذا 
التقرير)ءمؤسسة x 00000000 (Mitre) juo‏ 


شكل :(Y-€)‏ بند (قاعدة البيانات الوطنية للثغرات) ال مقابل ل db)‏ التعرض والثغرات ال 
شائعة) ااا ببب1ج0001010 ا VI‏ 


شكل )€-£(: واجهة أطلس على الإنترنت. تم الحصول على هذه المعلومات من Arbor)‏ 
(Networks ATLAS Initiative‏ في تاريخ ۱۲/مایو/۲۰۱۲» ولقد تم الحصول على إذن 
لإعادة النشر. البيانات من موقع أطلس متغيرة ولذا فإنه قد تكون المعلومات الموجودة 
في الشكل تغيرت منذ تاريخ نشر البيانات. جميع الحقوق محفوظة. أطلس (ATLAS)‏ 


D ETC (Arbor Networks, Inc.) هي علامة تجارية لشركة‎ 
E ————————— على الانتحال‎ JUs:(0- €) شكل‎ 


شكل (1-6): هجمة الاستغلال الفوري لبرنامج (Adobe Flash)‏ والتي تم إطلاقها في 
او لكا 00110 0 C MM‏ 


شكل :)۷-٤(‏ تكرار استخدام ثغرتين من الثغرات الشائعة الاستخدام في التهديد المتقدم 


الدائم (APT)‏ 000 0 0 0 ا 
شكل (٤-۸):استخدام‏ متصفح الإنترنت في الآلة الافتراضية ا E acai‏ 
شكل :(Y-0)‏ مقاتلة من طراز LO MM (J-20)‏ ا 
شكل (0-؟7):عناصر التعرف على خصائص الأصول ns METRE REPE‏ 


أمن ام معلومات وإدارة مخاطر تقنية المعلومات ۱۷ 


قائمة الأشكال 


شكل (0-):الدورة العامة لحياة أصول تقنية المعلومات ا 
شكل )6-0( es:‏ معلومات الطالب 1 1 O‏ 
شكل (0-0): استخدامات جهاز حاسب آلي مخترق REM‏ 
شكل )1-\(: نموذج للتهديد 000000000000001 
شكل (Y-1)‏ نسب الاختراقات لوسطاء التهديد خلال فترة زمنية M‏ — 
شكل (Y)‏ الوسطاء الخارجيون me‏ 
شكل (6-7):الطائرة العسكرية الصينية O AES, (J-20)‏ 
شكل )0-3( الطائرة الحربية (F-22)‏ المصممة من شركة لوكهيد الأمريكية m‏ 
شكل (1-5):الوسطاء الداخليون 21110101000 
شكل (V-3)‏ الشرکاء E NE — E E‏ 
شكل eu (EdwardSnowden) 5554292]: (A-1)‏ 


JS‏ )9-1(: تعطل مزود خدمة الإنترنت (Datagram)‏ بسبب إعصار ساندي 


شكل (1-١٠):رسالة‏ الخطأمن فيروس ميليسا PEPERIT TERRIER:‏ 
شكل (VV)‏ المستوى العالي لهجمات البرمجة النصية للمواقع المشتركة TE‏ 
شكل :)١7-7(‏ برنامج ue (BonziBuddy)‏ 
شكل (17-7):عدد الثغرات المخترقة في عام ۲١٠١‏ حسب اللمورد 0 
شكل )1-1£(: استثناء لشهادة من المتصفح فايرفوكس E EE A‏ 


شكل (0-7١):الشاشة‏ الرئيسية لتطبيق (GreenboneSecurity Assistant)‏ 


شكل (VV‏ تكوين مهمة جديدة M‏ ا 
(QN) JS‏ البدء à‏ مسح حديد C"—————————————— Ó MM À‏ 


أمن المعلومات وإدارة مخاطر تقنية المعلومات 


قائمة الأشكال 


شكل (۱۸-1): عرض تفاصيل المسح aodio‏ 
JS‏ (11-7١):صفحة‏ التقرير با اا 
شكل (V-V)‏ التشفير وفك التشفير في سياق التواصل بين المرسل والمستقبل E C see‏ 
شكل (Y-V)‏ مرجع شفرة قيصر 0010077 ا E‏ 
شكل iah: (Y- V)‏ عامة عن التشفير با مفتاح السري DAT i‏ اا ET‏ 
:)٤-۷( JS‏ ممحة dole‏ عن التشفير بالمفتاح العام بهدف نقل البيانات VEN Sersal‏ 
شكل (/0-1): استخدام التشفير بالمفتاح العام للتوقيعات الإلكترونية ل PEN‏ 
شكل :(1-V)‏ مثال على خاصية المجموع الاختياري OE M RR‏ 


ign ا‎ E E T, شكل (۷-۷):النموذج العام لتشفير المجموعات‎ 
FON e E inii Uieeerd كتاب الرمز الإلكتروني‎ (A-V) شكل‎ 


شكل (/1-1): تسلسل تشفير ا مجموعات —— x e‏ 


شكل (/1-١٠):دالة‏ التجزئة us RR 01 A (Hash function)‏ 
شكل (1-١١):عملية‏ تصديق المفتاح العام ا ز 1 1 PIN‏ 
شكل :)۱١-۷(‏ هيئات المصادقة في امتصفح IRE‏ 1 ا 
JS S‏ (۱۳-۷): $393( غير موثوق به nM CE‏ 
شكل :)۱٤-۷(‏ مربع حوار كلمة اممرور لبرنامح mud (GPG)‏ د PAN LA cusaundnda‏ 
شكل (1-8١):إدارة‏ الهوية والوصول CE N A‏ 
شكل (Y-A)‏ المخطط الانسيابي لعملية المطابقة والدمج E‏ 
شكل (Y-A)‏ بطاقة ذكية ف قارئ بطاقة متصل منفذ يو إس بي E a (USB)‏ 
شكل :)٤-۸(‏ قطعة رمزية ONT (Token)‏ ا 


أمن المعلومات وإدارة مخاطر تقنية المعلومات M‏ 


قائمة الأشكال 


Ar (0-8):بصمة الإصبع مع تحديد (تفصيلات) البصمة‎ JS 
ا‎ AA A AA شكل (1-۸): مسح قزحية العين في مطار دبي‎ 
EE a (Kerberos) بيروس‎ yS شكل (۷-۸): تبادل تذاكر بروتوكول‎ 
ij "-———— المصادقة ا لمعتمدة على الرموز‎ (A-A) شكل‎ 
dil EMT a شكل )^-3(: خدمة المصادقة المركزية‎ 
اسع‎ (InCommon) خدمة الاكتشاف في أحد أنظمة الارتباط الاتحادي الشائعة وهو‎ :)٠١-8( شكل‎ 
£YO e تسجيل الدخول الأحادي في بيئة الارتباط الاتحادي ب «لغة تمييز التأكيدات الأمنية»‎ (VV A) شكل‎ 
ECE Eu" EEE (OpenID) بروتوكول‎ :)۱٩-۸( شكل‎ 
E ا‎ (OpenID 2.0) بروتوكول‎ 395b شكل (۱۳-۸): شاشة اختيار‎ 
EE. Rate e (http://trendsmap.com) :(۱£-۸) J 
CEE sisit (OAuth) مرور الرمزفي بروتوكول‎ :)۱٥-۸( شكل‎ 
ا‎ 15 (ProviderUserlId) g (UserId) قيبطت:)١7-8( شكل‎ 
dA RR مسار هجمات الشاب المتطفل إلى المنشآت العسكرية‎ :)۱۷-۸( JS 
"es RB ERR RENE RH ERE رمز الاستجابة السريعة‎ dz: (VA-A) شكل‎ 
EUA EE (iOS) وحدة المصادقة من جوجل على نظام‎ :(YA-A) شكل‎ 
A E E tu DEO S مثال على مصفوفة وصول‎ :(Y-3) شكل‎ 
A E جدار ناري نمطي‎ :(Y-3) شكل‎ 
dq "em الجُدّر النارية المحيطة واممناطق منزوعة السلاح‎ :(Y-3) شكل‎ 
ENT ما‎ (http) الجدار الناري لويندوز وهو يحظر بروتوكول انتقال النص التشعبي‎ :)٤-۹( شكل‎ 
£AV ee (http) شكل )0-3( الجدار الناري لويندوز وهو يسمح لبروتوكول انتقال النص التشعبي‎ 


Y.‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


قائمة الأشكال 


شكل )1-3( لوحة تحكم تقليدية لأحد المنافسين )2003 Ii es (circa‏ 
شكل :(V-3)‏ لوحة تحكم تابعة لشركة )2005 OSE 0 0 0 (AirTight circa‏ 
شكل (A-3)‏ : دليل (var /ossec/etc/ ossec. conf/)‏ (بعد التعديل) ONO 7 e‏ 
شكل (5-5):واجهة نظام OANE —— áo (OSSEC-WebUI)‏ 
شكل :)٠١-۹(‏ طائر النمنمة. معدل نجاح الضوابط الأمنية يصل إلى Oe sansa >٤٠‏ 
شكل (١١-1١):تفاعلات‏ فريق الاستجابة للحوادث الأمنية ORA asa‏ 
شكل :)۲-١١(‏ تواصل فريق الاستجابة للحوادث الأمنية — oL rc‏ 
شكل (DollSays)J835 33:(Y- V)‏ أثناء انقطاع خدمة فيسبوك TL‏ 
شكل :)2-١١(‏ مثال على تشويه موقع إلكتروني E A‏ 
JS‏ (١١-0):البحث‏ عن المعلومات الشخصية ic [1 1 1 E TA‏ 
شكل (١١-1):أداة‏ شائعة الاستخدام في مراقبة الملفات 1n Ac (OSSEC)‏ 
JS‏ (١١-/):السجلات‏ التقليدية ا مدمجة i aA‏ 1 1 1 1 ا 
(A- VY) JS‏ تحليل السجلات 21 zz MERECE‏ 
شكل(١١-1):‏ مثال على حماية نقطة النهاية itat ees meten‏ اا 
شكل (١١-١٠):الجدول‏ الزمني للاحتواء والاستئصال والاسترداد O A‏ 
شكل (VW)‏ شاشة برنامج (عارض الأحداث) على نظام تشغيل 8593255 EV ZA e‏ 
شكل (۲-۱۲):ملخص لجانب الأحداث الإدارية TA O ES‏ 
شكل colla: (Y- W)‏ السجل التي تم عرضها مؤخراً 00 e‏ از T‏ 
شكل :)٤-۱۲(‏ جانب ملخص السجل T‏ 0 ز 1 ااا اا Il‏ 
شكل (5١-0):أحداث‏ معلوماتية uoocsuapN UN EEUU NEU MEE UE‏ ال 


أمن المعلومات وإدارة مخاطر تقنية المعلومات YA‏ 


قائمة الأشكال 


شكل (17١-1):نافذة‏ عرض «الأحداث الإدارية» ز SE ocu 1 Sed‏ 
شكل (V- W)‏ دليل من ملف سجل النظام (syslog)‏ ماح ل 
:)6-١7( JS‏ ملف (auth.log)‏ ا اا E E AE E‏ اا 
شكل MY)‏ -3(: مثال على مخرجات الأمر S METTE 1 01 0 0 0 0 0 (last)‏ 
شكل (Ve MY)‏ مخرجات الأمر pO A EIER TRETEN (w)‏ 
شكل (11-17١):قصاصة‏ من السجل الأمني EV AS 1 RUPES RS‏ 
شكل :)١17-١75(‏ دمج السجلات ENT E‏ 
شكل (7١-17):مخرجات‏ الأمر (systeminfo)‏ ا اا 
شكل (١١-؟١):أمر (System File Check)‏ 1 1 1 1 1 1 1 1 1 [ 1 ا 
شكل (17١-0١):الأوقات‏ الزمنية المرتبطة بالملفات TOE WE (MACtimes)‏ 
(YA MY) JS‏ مستكشف الملفات بالأوقات الزمنية TOOL a au Nt‏ 
äus :)١17-١7( JS‏ لجدول زمني MÓO: eens‏ 
شكل (11-17): أمن المعلومات وإدارة ا مخاطر التقنية ليست مرعية من قبل شركة JOY es (Dropbox)‏ 
JS‏ (7١-١):السياسات‏ واطعايير واطبادئ التوجيهية 00001 VA E‏ 
شكل :)3-١7(‏ الامتثال 00 1 TIV‏ 
شكل (NIST800-39) e 554:(Y- W)‏ لإدارة المخاطر o SSS‏ 0000000 
:(£-W) JS S‏ نموذج التهديدات aiia‏ 0 
JS A‏ (0-17): نموذج تقييم ا مخاطر — "lp A E‏ 


شكل :)2-١5(‏ المبادئ التوجيهية للتدقيق والتابعة لقانون (ساربينز أوكسلي) والمؤثرة في 


۲ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


تمهيد: 

تعد المشكلات التي تواجه طائر النمنمة الموجودة صورته على غلاف الكتاب مشكلات 
مصيرية تؤثر في حياة أو موت هذا الطائرء لكن مشكلات أمن ا معلومات التي نواجهها نحن 
البشر ليست EUIS‏ (وللاطلاع على مشكلة طائر النمنمة راجع سؤال التفكير النقدي في 
الفصل التاسع). وعلى الرغم من ذلك فإن مشكلات أمن المعلومات تعد مزعجة à‏ ومُكلفة 
ومُستمرة ها فيه الكفاية لتجعل من أمن المعلومات مهنة العصر الحديث وتجعل dis‏ 
lose E WIS‏ بالاهتمام والدراسة. 


تم تصميم هذا الكتاب ليكون بمثابة مقرر دراسي مخصص لأمن المعلومات تتم دراسته 
خلال فصل دراسي واحد. ويركز الكتاب على مساعدة الطلاب في اكتساب المهارات المطلوبة 
في سوق العمل call‏ 
ويبدأ هذا الكتاب بمقدمة عن البيئة اللهنية لأمن ا معلومات. وبعد اقتناع الطالب 
بأهمية هذا الموضوع. 335 الكتاب النموذج الأساسي لأمن المعلومات والذي يتكون من 
الأصولء والثغرات الأمنية» والتهديدات» والضوابط. ونخصص ما تبقى من المقرر الدراسي 
لتوصيف الأصولء والثغرات الأمنية» والتهديدات والاستجابة لها باستخدام التحكم الأمني. 
وينتهي هذا الكتاب بدمج هذه الموضوعات تحت المظلة العامة لإدارة المخاطر التنظيمية. 
وبنهاية المقرر الدراسي سيكون لدى الطلاب الوعي بكيفية تطور الاهتمام بأمن ا للعلومات 
في مجتمعناء وكيفية استخدام الأطر والنماذج الحديثة للتعامل مع تلك المخاوف في بيئة 
احترافية. 
وفي نهاية كل فصل من هذا الكتاب هناك مجموعة كاملة من التمارين تتألف من 
خمسة أنواع من الأسئلة: 
.١‏ أسئلة تقليدية في نهاية US‏ فصل تهدف إلى تحسين فهم الطلاب واستذكار الموضوعات 
الهامة في أمن المعلومات. 
.Y‏ مثال على حالة دراسية في نهاية كل فصل تتيح للطلاب تطبيق ال معارف التي تم 
اكتسابها في بيئة عملية. 


أمن ام معلومات وإدارة مخاطر تقنية ا معلومات ۳۳ 


à تم تصميم حالة مترابطة بجميع موضوعات فصول الكتاب. ويقوم الطالب‎ l3 uv 


هذه الحالة المترابطة بدور مدير أمن المعلومات في إحدى الجامعات الحكومية حيث 
يواجه الطالب بعض ال مشكلات المتعلقة با موضوعات التي تمت مناقشتها في الفصل. 


تمرين التفكير النقدي والذي يتعرف الطلاب من خلاله على حالات عملية مماثلة ما 
تم مناقشته في الفصل حيث يقوم الطلاب بربط الأفكار من الفصل بهذه الحالات. 
وتصنف المشكلة التي تواجه طائر النمنمة والتي تم الإشارة إليها آنفا تحت هذا 
النوع من التمارين. 

وأخيراً يحتوي كل فصل على نشاط عملي Laàs‏ باستخدام توزيع مخصص لنظام 
التشغيل سنتوس لينكس (CentOS Linux OS)‏ ليتم تشيته بصفة جهاز افتراضي 
باستخدام .(VirtualBox)‏ ونحن فخورون دا بهذا الجانب من الكتاب. ولقد 
قمنا باختيار التمارين بعناية بحيث تساعد الطلاب ليصبحوا على معرفة مهام أمن 
ا معلومات الأولية من جهة وعلى معرفة أيضا بإدارة بأنظمة لينكس من جهة أخرى. 
ولقد قام زميلنا إيرك على وجه التحديد بقضاء وقت طويل في اختبار وتصميم 
وصيانة التوزيع ا مخصص لنظام التشغيل سنتوس لينكس (CentOS Linux OS)‏ 
وبالإمكان تحميل هذا التوزيع من الموقع الإلكتروني للكتاب. 


ومع أن محتويات الكتاب بحد ذاتها تعد كافية دون الحاجة للأنشطة العملية فقد 


تم إضافة محتوى النشاط العملي استجابة لطلبات ا مسؤولين في المنظمات. delig‏ من 
ا مدربين أن يتيحوا لطلابهم الاستفادة من هذا الجانب من الكتاب. ويعرض الفصلان 


الثاني والثالث من هذا الكتاب الإعدادات الأساسية لاستخدام الجهاز الافتراضي Virtual)‏ 
.(Machine‏ وجاءت التعليمات مفصلة ما فيه الكفاية حتى يتمكن الطلاب من إكمال 
التمارين بمفردهم. 


Mis بهذا الكتاب..‎ dil al العاف بطرق شق غند‎ cos الاستفادة من‎ Ses 


المحاضرات التقليدية ستكون ملائمة جداً مع هذا الكتاب. أما ا مدربون المهتمون بالاستفادة 
من الوقت في مزيد من الأنشطة التفاعلية فسيجدون أن الأنشطة والتمارين ال موجودة في 
نهاية كل فصل ستكون طريقة مفيدة جدا للاستغلال الأمثل لوقت ال محاضرة. 


yt 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات 


els‏ فريق تأليف هذا الكتاب بدمج وجهات النظر المختلفة اللازمة لتدريس موضوعات 
أمن المعلومات للارتقاء بالطموحات المهنية. المؤلف الأول هو مانيش أغروال وهو عضو 
هيئة تدريس متخصص في نظم المعلومات الإدارية. وقام بتصميم هذا المقرر الدراسيء كما 
قام بتدريسه لطلاب نظم ا معلومات الإدارية والمحاسبة في جامعة جنوب فلوريدا لأكثر من 
خمس سنوات حتى الآن. المؤلف الثاني هو أليكس كامبو وهو مدير أمن ا معلومات في 
جامعة جنوب فلوريدا. وهو المتصدر لجميع أنشطة أمن المعلومات في الجامعة متضمناً 
ذلك الاستجابة للحوادث ووضع السياسات وتحقيق التوافق التقني. المؤلف الثالث هو 
إيرك بيرس وهو ال مسؤول عن إدارة الهوية في الجامعة. وترتكز الموضوعات التي تم تناولها 
في هذا الكتاب على معرفة فريق التأليف بأهم الأنشطة اليومية التي تندرج تحت مظلة 
امن المعلومات. 

طائر النمنمة الذي سبق ذكره لا يواجه مشكلة أمن ا معلومات على وجه التحديد لكنه 
يستخدم الحلول التي تعتمد على كثير من ضوابط أمن المعلومات التي تناقش في هذا 
الكتاب؛ إذ يتضمن محيط طائر النمنمة جميع مكونات نموذج أمن المعلومات الأساسي 
المقترح في هذا الكتاب. فالأصول تتمثل في حياة صغار طائر النمنمة وسلالته» في حين تتمثل 
الثغرات في تأخر فقس البيض. أما التهديدات فهي الطيور الطفيليةء وأخيراً تتمثل الضوابط 
في رموز التعارف بين هذه الطيور. ومن ثم فإننا نعتقد بأن مشكلة طائر النمنمة تصف 
هذا الكتاب بإيجاز. 


ونود A5‏ خرضنا (de‏ سماع تعليقات eli]‏ غن الكتاي سواء كانت coll bl‏ العطوير: 
أم أخطاء مطبعية. أو خللاً في الجهاز الافتراضيء أو أي موضوع آخر يواجهه القراء أثناء 
استعراضهم لهذا الكتاب. وسوف نبذل قصارى جهدنا للاستجابة للمقترحات» وسنعرض 
التصحيحات في جدول للأخطاء المطبعية يوضح الخطأ والصواب وسنقوم بنشر هذا الجدول 
في الموقع الإلكتروني للكتاب. كما نود معرفة ملاحظات القراء الإضافية المتعلقة بمدى قدرة 
الكتاب على تحسين فهم موضوع أمن المعلومات» أو تطوير طريقة التدريس» أو المساعدة 
في الحصول على dis‏ أو المساعدة في العمل نفسه. وستساعدنا هذه التعليقات 
وا ملاحظات في تحسين الطبعات المقبلة من الكتاب. ويمكن إرسال التعليقات واملاحظات 
للمؤلف الأول على البريد الإلكتروني التالي: magrawaleusf.edu‏ 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات YO‏ 


yI 


نظرة عامة: 

i‏ هذا الفصل أهمية موضوع أمن امعلومات. كما يوضح أجزاء ومكونات بقية 
هذا الكتاب. à‏ البداية نذكر الأسباب التي oia dud‏ مهال Vies Cuts sal‏ مقي 
للدراسة حتى نجعل القارئ Laas‏ مموضوع هذا الكتاب. وبعد ذلك نقدم dab‏ تاريخية 
عن موضوع أمن المعلومات مع تسليط الضوء على أهم التطورات التي أدت إلى الوضع 
الراهن في محال أمن وهات اغا سنقوم بتلخيص الإجراءات المتبعة في مجال أمن 
المعلومات للحفاظ على أمن ال معلومات. وهذه الإجراءات سنقوم بدراستها بالتفصيل خلال 
هذا الكتاب. في نهاية هذا الفصل يجب أن تعرف: 

٠‏ الأسباب التي تجعل من موضوع أمن المعلومات موضوعا مهما لكل شخص في عصرنا 

الحاضر. 

٠‏ أهم التطورات التي أدت إلى الوضع الراهن في مجال أمن المعلومات. 

٠‏ المصطلحات الأساسية المستخدمة في أمن المعلومات. 

٠‏ ملخص لإجراءات الحفاظ على أمن ا معلومات. 


الفوائد المهنية للمعرفة في مجال أمن المعلومات: 

إذا كنت تقرأ هذا الكتاب بوصفه جزءاً من متطلب جامعي فإنه على الأرجح أن 
يقدم هذا المقرر الدراسي في كليات متخصصة ككلية إدارة الأعمال» أو نظم المعلومات» أو 
الهندسة. ومن المتوقع أن تقوم هذه الكليات بتخريج الطلاب القادرين على بدء العمل 
الجديد بحماس شديد عند انضمامهم للقوى العاملة. وبطبيعة الحال فإننا نتوقع أن 
السؤال الأساسي في أذهان الطلاب في هذه الكليات هو: أين فرص العمل؟ وما الأهمية 


أمن المعلومات وإدارة مخاطر تقنية المعلومات ۷ 


الفصل الأول 


ا مهنية مموضوع أمن المعلومات؟ وما هو الطلب الوظيفي على المتخصصين في مجال 
أمن المعلومات؟ وما الذي يدفع المنظمات لتوظيف الخريجين من ذوي الممهارات في أمن 
المعلومات؟ وما الأعمال المتوقع أن يقوم الخريج بتنفيذها عند حصوله على وظيفة؟ وما 
الكفاءات التي تساعد الخريجين على تلبية تطلعات المسؤولين في المنظمات؟ قبل أن تقرر 
أن تقضي مزيداً من الوقت مع هذا الكتاب أو مع موضوع al‏ المعلومات. نود أن نبدأ هذا 
الكتاب بالإجابة عن التساؤلات السابقة. 


تقديرات الطلب: 

يعد مكتب إحصاءات العمل المصدر الأساسي لتقديرات التوظيف في الولايات المتحدة 
الأمريكية'". و(مكتب إحصاءات العمل) هو جهة حكومية تجمع إحصاءات التوظيف من 
دراسات مسحية واسعة لأرباب العمل. وقد قام هذا المكتب بتصميم تصنيف يسمى معيار 
التصنيف المهني القياسي standard occupational classification (SOC)‏ لجميع الفئات 
المهنية الرئيسية. وقد أعطي محللو أمن المعلومات الرمز ١0-11-97‏ (شكل giis .)١-١‏ 
وظائف محللي أمن المعلومات تحت مجموعة وظائف الرياضيات والحاسب الآلي الرئيسية 
التي تحمل الرمز .)٠١-٠٠٠١(‏ ويشير امموقع الإلكتروني لمكتب إحصاءات العمل إلى أن 
إحصاءات التوظيف الخاصة محللي أمن المعلومات قد جِمعّت مع إحصاءات التوظيف 
الخاصة بمطوري صفحات الشبكة ومهندسي شبكات الحاسب JYI‏ وبلغ إجمالي الوظائف 
في شهر مايو من عام ٠٠٠١‏ لهذه المجموعة ۲٤۲۳۲۲۰‏ بمتوسط راتب سنوي قدره ۷۹٩۷۰‏ 
دولارا أمريكيا. 


(1) http://www.bls.gov/ 


YA‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 





المقدمة 


الشكل :)١-١(‏ تصنيف وظائف محللي أمن المعلومات 


11-0 
الوظائف الإدارية 





15-1110 
علماء بحوث الحاسب 
الآلي والمعلومات 











15-1 


الآلي 










15-1130 
مطورو البرمجيات 
والمبرمجين 


EN | 55-0000‏ 
الوظائف العسكرية 


وتعد الشهادات المهنية التي تصدرها المنظمات المهتمة بمجال أمن المعلومات من 
أبرز مصادر توقع طلب ال منظمات لوظائف أمن المعلومات. وأحد هذه ا منظمات الرائدة 
هي الاتحاد الدولي لشهادات أمن نظم المعلومات International Information System‏ 

Security Certification Consortium (ISC)‏ © واستناداً إلى دراسة مسحية لأكثر من 
٠‏ موظف أمن معلومات من جميع أنحاء hlo‏ قدرت منظمة (ISC)‏ في عام 7٠٠١‏ 
أن هناك ما يقارب من Y, YA‏ مليون موظف أمن معلومات في جميع أنحاء العام منهم 
فو القارتين الأمربكيتين. ويُقدر أيضاً أن ينمو هذا الرقم بأكثر من ۱۴" . كما 
jai‏ متوسط المكافآت السنوية بأكثر من ۷۸٠٠١‏ دولار أمريي. ويمكن أن يعزى الفرق 
الواسع في تقديرات التوظيف بين الدراستين المسحيتين إلى اختلاف خصائص ال منظمات 
المشمولة في كل دراسة. كما تجدر الإشارة إلى أن كلا الدراستين المسحيتين تتفقان تماما في 
تقديراتهما لمتوسط المكافات السنوية. 








(2) http://www.bls.gov/oes/current/oes151179.htm 


(3) https//www.isc2.org/uploadedFiles/Landing Pages/NO form/2011GISWS.pdf 


أمن المعلومات وإدارة مخاطر تقنية المعلومات Ya‏ 











الفصل الأول 


دوافع الطلب الوظيفي على وظائف أمن المعلومات: 

هناك العديد من العوامل التي تؤثر في طلب وظائف أمن المعلومات. أول هذه العوامل 
هو الأهمية المتزايدة للمعلومات لكل من الأفراد والمنظمات. إضافة إلى ذلك الزيادة الكبيرة 
في كمية المعلومات التي تقوم المنظمات بجمعها وتخزينها في أنظمة الحاسب الآلي بهدف 
استردادها والرجوع إليها. إن حيازة لص على بيانات الدخول على نظام ما (اسم ال مستخدم 
وكلمة المرور) قد تكون أتمن بالنسبة لهذا اللص من امتلاك ٠٠١‏ دولار أمريكي. وقد تسفر 
الهجمات الناجحة على أحد البنوك أو المؤسسات التجارية عن تسرب مئات الألوف من 
أسماء المستخدمين وكلمات المرور الموثقة. لذا فإن لدى كثير من المجرمين دافع ورغبة أكبر 
في استهداف مخازن المعلومات بدلا من المخازن المادية الأخرى. 

وعلى الرغم من أن ا معلومات أصبحت AST‏ قيمة فإن كثيراً من المستخدمينء ومن غير 
قصد. جعل من السهل على المهاجمين الحصول على هذه ال معلومات القيمة. على سبيل 
ا مثال عندما يتطلب الأمر على ال ممستخدمين تكوين اسم مستخدم وكلمة مرور OB‏ كثرا 
منهم يعمد إلى استخدام رموز قصيرة في تكوين اسم ال مستخدم وكلمة ال مرور. كما أنهم 
غالبا ما يفضلون أن يقوم جهاز الحاسب الآلي بتذكر اسم المستخدم وكلمة المرور بدلا من 
إدخالها في المواقع الإلكترونية التي يرتادونها. تأمل الآن فيما يحدث في حال تمكن المهاجم 
من وضع يده على جهاز الحاسب الآلي المحمول أو الجهاز اللوحي أو الهاتف الذي الخاص 
مستخدم ما. بدون dsl‏ شك أن هذا em ll‏ سيتمكن من حيازة الكثير من المعلومات 
الحساسة عن هذا المستخدم. يستطيع المهاجم بسهولة وبأقل جهد الحصول على مئات 
cV SI‏ مز CoL‏ دهن وتو طف اة لانن adea]‏ الاين امن فشكل 
مباشر مع بيانات ال منظمات الحساسة. وفي الوقت ذاته يقوم هؤلاء الموظفون أثناء عملهم 
باستخدام أجهزتهم الذكية التي يُقدر عددها با مليارات. لذا ol‏ المنظمات تضطر للعمل 
بشكل استباقي لتجنب الظهور على الصفحات الأولى للصحف والقنوات التلفزيونية بسبب 
فقدانها معلومات العملاء أو غيرها من البيانات الحساسة. 


أهمية المعلومات الموضحة أعلاه هي أحد دوافع الطلب الوظيفي على وظائف أمن 
المعلومات. أما الدوافع الأخرى للطلب الوظيفي على وظائف أمن المعلومات فتشمل: 


Y.‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


المقدمة 


التعامل مع ثغرات التطبيقات الحاسوبية: والتيار المستمر من الفيروسات والبرمجيات 
الخبيثة الأخرى التي تصل للمنظمات» واللوائح التنظيمية» وخصوصية العملاء وتوقعاتهم 
voted Tas‏ و E A‏ دو 

كما أن دوافع الطلب الوظيفي على وظائف أمن المعلومات قد تغيرت بشكل سريع 
dise‏ على سبيل JE‏ حتى عام ۲۰۰۸ لم تكن الأجهزة محمولة كالهواتف الذكية والأجهزة 
اللوجهية à sla La]‏ امات aas.‏ هخ ذلك كانت القواقت Baal]‏ من jb dads]‏ 
اعتزاز وفخر لدى المديرين التنفيذيين. وبحلول عام ٠٠٠١‏ أصبح معظم الموظفين يفضلون 
استخدام هواتفهم الذكية الشخصية وأجهزتهم اللوحية لإنجاز أعمال المنظمة بدلا من 
الهواتف التي تصدرها المنظمة والتي لا تحتوي في الغالب على متصفح الشبكة وغيرها من 
المميزات المرغوب فيها. ومن هنا وجب على موظفي أمن المعلومات أن يسارعوا للتعامل 
مع الآثار البعيدة المدى لهذا التغيير. وبينما كانت المنظمات في وقت سابق تصدر الهواتف. 
مثل هاتف بلاكبيري» وتفرض السياسات الأمنية ا لمطلوبة على الأجهزةء أصبحت السياسات 
الأمنية للأجهزة الشخصية تحت سيطرة ا مستخدمين وليست تحت سيطرة المنظمات التي 
يعملون فيها. ونتيجة لذلك أفاد موظفو أمن المعلومات في عام ٠٠٠١‏ أن أمن الأجهزة 
المحمولة والتعامل معها La‏ على رأس أولوياتهم. ومن المرجح أن تزداد هذه المخاوف 
في المستقبل القريب. ونتيجة لذلك فإن الطلب على وظائف أمن ال معلومات وتأمين فرص 
وظيفية للعاملين في هذا ال مجال سيزداد اا 


الأنشطة الوظيفية لموظفى أمن المعلومات: 

ما الأنشطة التي يقوم بها موظفو أمن المعلومات؟ حسب الوقع الإلكتروني لمكتب 
إحصاءات العمل فإن دور محللي أمن المعلومات يتجسد فيما يلي: 

تخطيط وتنفيذ وتطوير ومراقبة الإجراءات الأمنية ا مرتبطة بحماية شبكات الحاسب 
JYI‏ وا معلومات. وتتضمن المهام التأكد من استخدام الضوابط الأمنية المناسبة لحماية 
الملفات الرقمية والبنية التحتية الإلكترونية. كما تتضمن ell‏ الاستجابة الفورية للفيروسات 
والخروقات الأمنية لأجهزة الحاسب الآلي. 

أمثلة توضيحية: أخصائي أمن حاسب «JE‏ محلل أمن شبكات» أخصائي أمن الإنترنت. 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات Y^‏ 


الفصل الأول 


وهذه الأنشطة كلها إلى حد ما أنشطة تقنية. ومع ذلك فإن هناك الكثير من الأنشطة 
غير التقنية بطبيعتها والتي مور أمن امعلومات. ويوضح الشكل cti (Y-V)‏ 
الأربعة الأولى للأنشطة التي تستغر ف وق جاورا PE‏ ا مشاركين في الدراسة اممسحية° 
والمعدة من قبل منظمة 1502. ومن هذا الشكل يتضح أن القضايا التنظيمية. وتطوير 
السياسات» والقضايا الإدارية تشكل الجزء الأكبر من أنشطة أمن المعلومات. 


الشكل :)١-١(‏ المراكز الأربعة الأولى للأنشطة التي تستغرق وقتاً طويلاً لموظفي أمن المعلومات 


بحوث التكنولوجيا الحديثة 
مشاكل داخلية/سياسية 
تطبيق قوانين الهيئات التنظيمية 


تطوير السياسات والمعايير والإجراءات الأمنية الداخلية 





الكفاءات المطلوبة: 
المسؤولية الرئيسية مموظفي أمن المعلومات تتمثل في تنبؤ المشكلات المتعلقة با معلومات 
والتقليل من آثار تلك ا مشكلات. وتسلط الدراسة المسحية المعدة من قبل منظمة 1502 
الضوء على OU‏ موضوعات تدريبية لموظفي أمن المعلومات. وهذه الموضوعات الثمانية 
موضحة في الشكل .)”-١(‏ وتعد هذا الموضوعات الثمانية مؤشرا جيدا للكفاءات المطلوبة 
في المجال الوظيفي لأمن المعلومات. Flug‏ على ذلك نستطيع أن نرى بوضوح أن موظف 
أمن المعلومات الناجح يحتاج إلى مهارة عالية في تحليل النظم وتصميمها وذلك لتحديد 
https//www.isc2.org/uploadedFiles/Landing Pages/NO form/2011GISWS.pdf‏ )4( 
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المقدمة 


الثغرات ا محتملة التي قد تصيب التطبيقات الإلكترونية للمنظمة. كما يحتاج موظف أمن 
المعلومات الناجح إلى مهارات في إدارة الُظم وذلك لاختبار الأنظمة وتحديد الآثار التي 
يتركها قراصنة الإنترنت (الأدلة الجنائية). ويحتاج موظف أمن المعلومات الناجح laj‏ إلى 
مهارات في إدارة المخاطر. إن استمرارية العمل من جهة ومتطلبات التعامل مع الكوارث 
من جهة أخرى يُحتم على موظفي أمن المعلومات أن يكون لديهم فهم جيد لطبيعة عمل 
ا لمنظمة بالإضافة إلى فهمهم في بنيتها التحتية Auil‏ وذلك لتحديد التطبيقات الأكثر 
ase d uel‏ ين اعلا es coa olt aste‏ واكاك من اتصاليا asco‏ 
وذلك في حال كوارث طبيعية أو متعمدة. 
الشكل :)"-١(‏ الاحتياجات التدريبية لموظفي أمن المعلومات 


اا 
jos 11111111111117‏ دورة حياة تطوير ceo)‏ 
sonas 11111111111117‏ 
ipsos. |‏ 
ioo NRO‏ 
ااا ED‏ 
MENEEEENRARENEEEERKKKNEEEN‏ نت بدرة شن 
blo 111111111‏ لاستمراربة العمل والتعامل مع الأزمات 


ويهدف هذا القسم لإقناع القارئ بأن وظائف أمن المعلومات هي وظائف حيوية 
وعملية. كما يهدف إلى إيصال فكرة أن وظائف أمن المعلومات هي وظائف مُحفزة جدا. 
وعلاوة على ذلك فإن ثغرات أمن المعلومات تجذب مراقبة الجمهور مما يجعل من أنشطة 
موظفي أمن المعلومات ذات أهمية كبيرة للإدارة العليا في المنظمة رها أكثر من بقية أجزاء 
البنية التحتية التقنية للمنظمة. ف الوقع. وحسب الدراسة المسحية٤‏ المعدة من قبل 


أمن المعلومات وإدارة مخاطر تقنية المعلومات "Y‏ 


الفصل الأول 


منظمة 1502 فإن موظفي أمن المعلومات يرفعون تقاريرهم إلى الإدارة العليا كالمدير 
التنفيذي للمنظمة (CEO)‏ أو المدير التنفيذي للمعلومات (CIO)‏ أو إلى مدير آخر في 
ا مستوى التنظيمي نفسه. وذلك في أكثر من (XY0)‏ من المنظمات. 

لمحة تاريخية: 

من هذا القسم وما يليه نستطيع افتراض أن القارئ مهتم بتعلم أمن المعلومات من 
منظور مهني. معنى أن القارئ مهتم بالاستفادة من موضوعات هذا الكتاب في حياته 
ا مهنية. وتجدر الإشارة إلى أن معظم الأشياء التي نفعلها بشأن أمن المعلومات في عصرنا 
الحديث هي نتاج لتفاعل صناعة أمن المعلومات مع الثغرات الأمنية الشهيرة التي حدثت 
على مر السنين. وأصبحت العديد من هذه الحوادث التاريخية جزءاً من التاريخ المهني 
لأمن المعلومات. إنه من ال مفيد بالنسبة للقارئ أن يتعرف على هذه الحوادث التاريخية 
حتى يدرك أهمية المتطلبات التنظيميةء ويُقدر مخاوف المديرين» ويتعرف على ا مصطلحات 
المهنية الخاصة بأمن ال معلومات. وتحتوي القائمة olof‏ على بعض حوادث أمن المعلومات 
التاريخية. وليس الهدف من هذه القائمة أن تكون شاملة لجميع الحوادث التي حدثت 
في الماضي”. بل الهدف منها هو التركيز على حوادث أمن المعلومات الرئيسية التي آدت 
ال اماد الإجراءات العنظيمية وإل تفاعل deluo‏ أمن اللعلومات ولكونها مقياسا لكاو 
أمن المعلومات التي حدثت في ذلك الوقت. 

MAY‏ - تطوير تقنيات الإنترنت الرئيسية :(TCP and IP)‏ تم الانتهاء من التقنيات 
الأساسية للإنترنت في عام VIA‏ وم يكن هناك أي ذكر لمسألة أمن ال معلومات في هذه 
التقنيات مما يُشير إلى أن عام التكنولوجيا لم يكن يشعر بالقلق إزاء أمن المعلومات في ذلك 
الوقت. وكانت تقنيات الإنترنت الرئيسية (TCP and IP)‏ متاحة مجاناء ومن ثم أصبحت 
هذه التقنيات هي تكنولوجيا الشبكات المفضلة لأنظمة الينكس (UNIX)‏ والتي تستخدم 
بشكل واسع في الجامعات والمنظمات المختلفة كال مستشفيات والبنوك. 

1117-7 -عصابة :£V€‏ بدأت عمليات الاقتحام الإلكتروني بعد وقت قصير من دمج 
تقنيات الإنترنت الرئيسية (TCP and IP)‏ بمعدات وتجهيزات قطاعات الأعمال المختلفة . 
وكان حادث عصابة 6١6‏ هو الحادث الأكثر تغطية إعلامية في ذلك الوقت. وتتكون العصابة 
)0( لمصدر أكثر شمولاً على الموقع التالي: Wikipedia: http;//en.vikipedia.org/viki/Timeline of computer security hacker history‏ 


vé‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 








المقدمة 


من ستة من ال مراهقين من مدينة ميلووك» وسميت العصابة بالرمز الهاتفي لمنطقة ميلووي 
وهو EVE‏ ووجد هؤلاء المراهقين أنه من امثير الوصول إلى الأنظمة التي من ال مفترض أن 
تكون بعيدة عن متناول أيديهم. وتمكنت هذه المجموعة من اقتحام TINTE‏ 
ERE‏ رفيع ال مستوى باستخدام أجهزة الحاسب JI‏ وخطوط الهواتف امنزلية وكلمات 
مرور افتراضية. ومن المنظمات التي تم اقتحامها من قبل هذه العصابة مختبرات لوس 
آلاموس ومركز ميموريال سلون كيترينج للسرطان في نيويورك. وتلقى هذا الحادث تغطية 
واسعة من وسائل الإعلام متضمناً ذلك الصفحة الأولى لمجلة نيوزويك والتي تضمنت العنوان 
التالي (احترس: قراصنة الحاسب يعبثون). ويعتقد أن هذا هو Jl‏ استخدام glaat‏ 
قراصنة الحاسب في وسائل الإعلام في سياق أمن الحاسب الآلي. s‏ حين أن المراهقين 
م يُحدثوا أي ضررء رأى القائهون على الأنظمة في ذلك الوقت أن التقنيات البسيطة التي 
يستخدمها الأطفال من السهل تكرارها من قبل الآخرين. ونتيجة لذلك عقد الكونغرس 
الأمريي جلسات استماع حول أمن الحاسب الآلي. وبعد المزيد من مثل هذه الحوادث 
أصدر الكونغرس قانون الاحتيال وإساءة استخدام الحاسب الآلي عام AW‏ ويجعل هذا 
القانون من اقتحام أنظمة الحاسب JYI‏ الحكومية أو الخاصة جرهة يعاقب عليها القانون. 
-VAM‏ 6395 موريس الخبيثة: درس روبرت موريس الدراسات علا à‏ جامعة كورنيل 
وهو A‏ بروفسور à‏ علوم الحاسب JI‏ والذكاء الاصطناعي 2 معهد ماساتشوستس 
للتكنولوجيا (MIT)‏ وفي الثاني من نوفمبر من عام ۱۹۸۸ أصدر موريس برنامجا حاسوبيا 
لتكرار 43 az‏ تكرازياً ذاتياء وذلك لقياس حجم الإنترنت الحديثة المنشأ. ونتيجة لمميزات 
تصميم البرنامج تعطل العديد من أنظمة الحاسب الآلي. كما نتج عن هذه العملية العديد 
من الأحداث وذلك لأن هذا البرنامج يعد أول دودة خبيثة للإنترنت. وتشير الأرقام إلى أن 
هذه الدودة عطلت ما نسبته )*٠١(‏ من الإنترنت وهو أكبر جزء يُعطل من الإنترنت على مر 
التاريخ وحتى عصرنا الحالي. كما أسفر هذا الحادث عن أول إدانة موجب قانون الاحتيال 
وإساءة استخدام الحاسب الآلي لعام ANT‏ وحكم على روبريت موريس بالوضع تحت 
الرقابة» وخدمة اممجتمع» ودفع غرامة مالية. كما دفعت هذه الحادثة حكومة الولايات 
المتحدة الأمريكية إلى إنشاء فريق استجابة لطوارئ الحاسب الآلي "(CERT/CO)‏ في 
جامعة كارنيجي ميلون (CMU)‏ ليكون مركزاً لتنسيق تفاعل الحكومة وقطاع الأعمال 
)1( يقصد ب (CERT)‏ فريق استجابة لطوارئ الحاسب الآلي. كما تم تسجيل (CMU)‏ كعلامة تجارية في مكتب براءة 
الاختراع والعلامات التجارية الأمريي. 
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لحوادث الإنترنت المشابهة. وتجدر الإشارة إلى أن البروفسور روبرت موريس كان أحد 
المؤسسين لموقع Viaweb‏ وهو أحد شركات التجارة الإلكترونية والتي قامت شركة ياهو 
بشرائها وإعادة تسميتها إلى (Yahoo! Store)‏ 


ومن الظريف وامثير للاهتمام أن والد روبرت موريس هو بوب موريس وهو الشخص الذي قام 
بتصميم نظام تشفير كلمة المرور لنظام التشغيل ينكس UNIX‏ والذي يُستخدم حتى يومنا الحالي. 


الحاسب الآلي الوطني (NCSC)‏ التابع لوكالة الأمن القومي ONSA)‏ 7 وهي الوكالة الاتحادية 
ا مسؤولة عن تصميم أجهزة الحاسب الآلي الآمنة. 





1198-0- نظام ويندوز :3A/A0‏ أصدرت مایکروسوفت نظام التشغيل (ويندوز 
30( الرابع والعشرين من أغسطس من عام 14940 وكان يحتوي هذا النظام على 
واجهة مستخدم رسوميةء كما كان هذا النظام مصمما ليعمل على أجهزة غير مُكلفة نسبيا. 
وعند طرح هذا الإصدار في السوق تم دعمه بحملة تسويقية å‏ كبيرة. وخلال فترة زمنية 
قصيرة جدا أصبح ويندوز 10 نظام us adl‏ الاك bta‏ على الإطلاق مما أدى إلى خروج 
أنظمة التشغيل الأخرى من السوق. وف المقام الأول تم تصميم ويندوز 10 ليكون نظام 
تشغيل مستقلا لمستخدم واحد ومن ثم م يكن يحتوي على أي احتياطات أمنية. وكان 
معظم ا مستخدمين يعملون على النظام دون كلمة مرورء وكانت معظم التطبيقات تعمل 
بامتيازات مدير الحساب» وذلك لتوفير الوقت والجهد على المستخدمين. ومع ذلك فإن 
نظام ويندوز 30 يدعم تقنيات الإنترنت الرئيسية (TCP/IP)‏ والذي أدى إلى استخدام هذه 
التقنيات من قبل معظم شركات الأعمال. هذا المزيج بين تقنية شبكات لا تعتمد على أي 
احتياطات أمنية كتقنية (TCP/IP)‏ وبين بيئة عمل لا تعتمد أيضا على أي احتياطات أمنية 
خلق بيئة خصبة ومزدهرة للتنازل عن أولويات أمن المعلومات. ويشير خبراء المعلومات 
في محادثاتهم أحياناً إلى أن هذه البيئة هي مصدر وظائف أمن ا معلومات". وحتى نظام 
التشغيل (ويندوز (IA‏ والذي صدر في الخامس والعشرين من يونيو من عام ١11‏ م يحتو 
على أي تعديل في أساسيات التصميم الأمني للنظام. 

(7) http://cm.bell-labs.com/cm/cs/who/dmr/crypt.html 
The Cuckoo»s" ولمعلومات أكثر ]86 عن بوب موريس هكن قراءة الكتاب الهزلي التالي من تأليف كليف ستول,‎ (A) 

Egg; ISBN 0671726889‏ 
)3( على سبيل المثال أشار دان الجيرء وهو ضابط أمن المعلومات (In-Q-Tel) à‏ أحد الأذرع الاستثمارية لوكالات 

المخابرات الأمريكية, إلى ذلك في حديثه في اجتماع (ISSA)‏ في تامبا في ديسمبر من عام .7١1١‏ 
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7- قانون إمكانية نقل التأمين الصحي وامساءلة Health Insurance Portability‏ 
:and Accountability Act (HIPP)‏ هذا القانون يركز في المقام الأول على حماية 
التأمين الصحي للعاملين في الولايات المتحدة الأمريكية عند تغيير أو فقدان وظائفهم. ولهذا 
القانون آثار أيضاً على أمن المعلومات حيث كان العديد من قادة الأجهزة الحكومية في 
ذلك الوقت يعتقد بأهمية السجلات الصحية الإلكترونية (EHR)‏ لتقليل تكاليف الرعاية 
الصحية المرتفعة في أمريكا. ومن ثم جاء هذا القانون ليدفع باتجاه تبني السجلات الصحية 
الإلكترونية. وها أن موضوع أمن المعلومات من الموضوعات التي حظيت باهتمام كبير, 
احتوى هذا القانون على بنود وأحكام تجعل المنظمات مسؤولة عن الحفاظ على سرية 
سجلات المرضى في قطاع الرعاية الصحية. وف الوقت الحالي يتوجب على قطاع الرعاية 
الصحية التحول إلى السجلات الصحية الإلكترونية بحلول عام Y «VE‏ وهذا هو أحد 
ا محركات الرئيسية للطلب على أمن ال معلومات حتى وقت كتابة هذه النسخة من هذا 
الكتاب (YYYY)‏ 


٠‏ فيروس :ILOVEYOU‏ أصدر طالبان من الفلبين هذا الفيروس في الخامس من 
مايو من عام ٠٠٠١‏ (الشكل .)6-١‏ ويقوم هذا الفيروس بحذف جميع الصور من أجهزة 
الحاسب JYI‏ المصابة. كما يقوم بإرسال نفسه تلقائياً كملف مرفق إلى قائمة الاتصال في 
برنامج أوتلوك. وأصاب هذا الفيروس MET‏ من أجهزة الحاسب الآلي» كما تسبب بخسارة 
مليارات الدولارات. وتمكنت الحكومة الأمريكية من تتبع من قام بتصميم هذا الفيروس 
في غضون ساعات من إطلاقه وهما الطالبان روميل رامورزء وونيل دي جوزمان. ولكن 
المحققين أدركوا بسرعة أنه لا يوجد قانون ضد إصدار الفيروسات الحاسوبية في الفلبين. 
وتوجب على المحققين في هذه الحالة إسقاط جميع التهم الموجهة للطالبين”". وقد coal‏ 
هذه الحادثة إلى إدراك أن أمن المعلومات ظاهرة عالمية مما ولد ضغطا من الدول المتقدمة 
على الدول النامية لتطوير وإصلاح قوانين أمن المعلومات الخاصة بهم. ومع ذلك ما زال 
هناك اختلاف كبير بين الدول فيما يتعلق بقوانين أمن المعلومات. على سبيل «JULI‏ إصدار 
فيروس حاسوبي في الولايات المتحدة الأمريكية قد يؤدي إلى غرامة مالية تصل إلى ٠٠١,٠٠١‏ 


(10) Arnold, W. "TECHNOLOGY: Philippines to drop charges on e-mail virus," New York Times, 
August 22, 2000. 
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دولار أمريي و١٠‏ أعوام سجن. أما العقوبة في الفلبين فتتراوح بين ٠٠١٠٠١‏ بيزو Yose)‏ 
دولار أمريي) ومبلغ يتناسب مع الأضرار بالإضافة إلى Y‏ أعوام OP seus‏ 


ILOVEYOU فيروس‎ :(£-V) الشكل‎ 
&x Inbox - Microsoft Outlook [iO] x] 
|| Ele Edt view Go Tools Actions Help | 


E = | كما | و2‎ | Ee Reply a Reply to All يا‎ Forward | | Hj Send and Receive | EpFind organize | fa] 


Outlook Shortcuts | ALTA de s 


Outlook Today 


Inbos (1] From: Qui-Gon Jinn Ta: Obi-Wan Kenobi 


A Subject: ILOVEYOU Cc: 


Calendar ~ kindly check the attached LOVELETTER coming from me. 





My Shortcuts 
[i Item, 1 Unread 








:(Sarbanes- Oxley Act) ساربينز أوكسلي‎ 098 -reor 
شهدت الولايات المتحدة الأمريكية حالات‎ ۲٠١۲ ele إلى‎ ٠٠٠١ ele خلال الفترة من‎ 
مزعجة لاحتيال بعض الشركات الكبيرة كشركة ]9 09« وتايكوء و وورلدكوم. ادعت شركة‎ 
مليار دولار أمريكي لكنها‎ ٠٠١ إيرادات بأكثر من‎ JUL على سبيل‎ ٠٠٠١ أنرون في عام‎ 
أعلنت إفلاسها في العام التالي. في مثال آخر بالغت شركة وورلدكوم في تقدير أرباحها لعام‎ 
شهرا. ويُعتقد أن هذه الاحتيالات قد‎ ٠١ مليار دولار أمريي خلال‎ VY بأكثر من‎ Y 
تمت من خلال التلاعب بالأنظمة المحاسبية بأمر من قيادة المنظمة. لكن وخلال المحاكمات‎ 
كان المديرون التنفيذيون يحاولون باستمرار الهرب من المسؤولية بادعاء جهل الإجراءات‎ 
المحاسبية وإلقاء اللوم على ثقتهم العمياء في مساعديهم ذوي التعليم العالي والرواتب‎ 
الممتازة. وأثر سقوط هذه الشركات على معظم العوائل الأمريكية لأن رواتبهم التقاعدية‎ 
يتم استثمارها في الشركات الكبيرة المطروحة للتداول العام. ووجد الكونغرس الأمريكي‎ 
نفسه مضطرا للتضرف لضمان سلامة التقارير المالية حيث أصدر الكوتغرس قاثون ساربيثة‎ 
في عام ۲۰۰۲. وركز القانون على جعل ال مسؤولين‎ (Sarbanes-Oxley Act) أوكسلي‎ 


(11) http://www.chanrobles.com/ecommerceimplementingrules.htm (accessed 02/28/2012) 
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التنفيذيين مسؤولين شخصياً عن صحة التقارير المالية للشركات المطروحة للتداول العام. 
ويتضمن هذا القانون ثلاثة أقسام. قسم ٠١7”‏ من هذا القانون يتطلب أن يقوم مدير 
التنفيذي والمدير JUI‏ بالتوقيع على إقرار معرفتهم الشخصية بكل المعلومات الواردة في 
التقارير السنوية. كما يفرض قسم IT‏ من القانون عقوبات جنائية متضمنا ذلك السجن 
83d‏ تصل إلى ٠١‏ سنة لأي إقرارات غير صحيحة. أما القسم الذي له تأثير مباشر في أمن 
المعلومات ووظائفها فهو قسم € ^£« OS‏ هذا القسم يتطلب أن يكون الإقرار في قسم ٠١٠7‏ 
معتمدا على أسس رقابة داخلية رسمية. وقد أدى ذلك إلى استثمارات كبيرة في الرقابة 
الداخلية على التقارير المالية للشركات المطروحة للتداول العام. 


٠٠١٠7 الهجمات الإلكترونية على شركات التجزئة: في ديسمبر من عام‎ ٠٠٠6 
أن أنظمتها الحاسوبية والتي تتضمن بطاقات‎ (TJ. Maxx) ذكرت شركة ني جي ماكس‎ 
وتبين من التحقيقات أن الاختراق بدأ قبل‎ .)0-١ الدفع الائتمانية تم اختراقها (الشكل‎ 
مليون بطاقة‎ ٤٥ وتم سرقة بيانات أكثر من‎ ٠٠١0 عام ونصف وبالتحديد في يوليو من عام‎ 
اثتمانية. واتضح أن قائد المجموعة المتورطة في عملية الاختراق يدعى ألبرت غونزاليس وهو‎ 
موظف ف مخابرات جهاز الخدمة السرية الأمريكية. وف واقع الأمر كان ألبرت في وقت‎ 
الهجمات يتواصل مع جهاز الخدمة السرية بخصوص حالة أخرى. وكشفت التحقيقات‎ 
أيضاً أن هذه المجموعة قد قامت باختراق الأنظمة الحاسوبية في العديد من شركات‎ 
BJs Wholesale Club, DSW, Office Max, Boston Market, Barnes) التجزئة مثل‎ 
وكانت طريقة عمل المجموعة كالتالي: أولاً قيادة‎ .(& Noble, and Sports Authority 
في مياميء ومن ثم البحث عن شركة للتجزئة شبكتها‎ ١ السيارة على الطريق السريع رقم‎ 
اللاسلكية غير مؤمنة بشكل جيدء وبعد ذلك يتم الدخول على شبكة الشركة. وقي وقت‎ 
لاحق قامت المجموعة بتطوير طريقة عملها وذلك باستخدام حقن تعليمات الاستعلام‎ 
Hannaford Brothers) للدخول للشبكة الحاسوبية لشركة‎ (SQL injection) 4:5 
وهي الشركة ال مسؤولة عن التعامل مع بطاقات‎ (and Heartland Payment Systems 
مليون بطاقة ائتمان‎ ٠١١ الدفع الائتمانية. وبحسب بعض التقديرات فإن بيانات أكثر من‎ 
مليون دولار أمريي.‎ Y تم سرقتها من هذه الشركة. كما تقدر الشركة خسائرها بأكثر من‎ 
سنةء كما تم تخريمه‎ ۲١ تم الحكم على آلبرت غونزاليس بالسجن‎ ۲۰٠١ مارس من عام‎ ds 


أمن المعلومات وإدارة مخاطر تقنية المعلومات YA‏ 


الفصل الأول 


أكثر من 1١,100,0٠٠‏ دولار أمريي والتي حصل عليها من بيع البطاقات المزيفة. وأبرزت 
هذه الحوادث أنه حتى الشركات الكبيرة لديها ضعف واضح فيما يتعلق بأمن المعلومات» 
ويمكن أن يؤدي هذا الضعف إلى الكثير من الإرباك والخسائر اطالية الكبيرة. وقد أدى 
استخدام تقنية حقن تعليمات الاستعلام البنيوية (SQL injection)‏ على وجه الخصوص 
إلى تأسيس الوعي للاهتمام بأمن المعلومات من خلال تطوير البرمجيات. ومن هذا الوعي 
Lis‏ المصطلح المعروف بدورة تطوير البرمجيات الآمنة (Secure SDLC)‏ في قاموس تقنية 
ا معلومات. 


الشكل :)0-١(‏ أحد محلات تي جي ماكس (T.].Maxx)‏ 





-7٠8‏ هجمات الامتناع عن الخدمة في جورجيا: تزامنا مع الحرب العسكرية بين روسيا 
وجورجيا في عام ٠٠١8‏ كانت جورجيا ضحية لهجمات d Bla‏ ومنتشرة لحجب الخدمات 
الإلكترونية. وشوهت هذه الهجمات العديد من المواقع الإلكترونية التابعة لوسائل الإعلام 
والأجهزة الحكومية بهدف الحد من قدرة هذه المواقع على تواصل المواطنين فيما بينهم 
بخصوص وجهات النظر المختلفة حول الحرب (الشكل .)1-١‏ وأدت ملابسات هذا الحادث 
إلى الاعتقاد بأن روسيا كانت وراء تلك الهجمات الإلكترونية كجزء من إستراتيجية الحرب”" . 
وإذا كان الأمر كذلك فإن هذه المرة الأولى التي تستخدم فيها الهجمات الإلكترونية أداة في 
الحروب. 


(Y)‏ مقطع (سايبر) b‏ في مقدمة الكلمات ذات العلاقة بأجهزة الحاسب SI‏ والشبكات. 


m‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 





المقدمة 


الشكل :)1-١(‏ الموقع الإلكتروني لوزارة الخارجية الجورجية بعد هجمات حجب الخدمة 





- > é 





يونيو من عام 43 -Y*‏ تأسيس الأسطول الأمريي ممكافحة الجرائم الإلكترونية: في شهر 
إبريل من عام ٠٠١1‏ ذكرت صحيفة وول ستريت جورنال أن مجموعة من المتسللين تمكنوا من 
اختراق الشبكة الحاسوبية لمقاولي وزارة الدفاع المسؤولين عن تطوير مشروع الطائرات اممقاتلة 
ا مشتركة «Joint Strike Fighters)‏ ويسمى "(Lightning II Yo-F) Lal‏ والذي تبلغ 
تكلفته ٠٠١‏ مليار دولار وهو الأعلى تكلفة من بين برامج وزارة الدفاع كافة. وقد تم استخدام 
0 ملايين سطر من الشفرة الحاسوبية في هذا المشروع. وقد تمكن المتسللون من سرقة بيانات 
ضخمة تتعلق بتصميم الطائرات والإلكترونيات. وكان يعتقد أن هذه العملية ستساعد الأعداء 
على تطوير دفاعاتهم للتغلب على الطائرات المقاتلة المشتركة. أما المقاولون المشاركون في هذا 
امشروع فهم: (Lockheed Martin, Northrop Grumman, BAE Systems)‏ و شهر 
Lad] Jal‏ كرت «ضحيقة وول Ca Re‏ جورفال أن شبك «La SUE‏ ق الولانات Bae‏ 48 
تم اختراقها من قبل جواسيس من الصين وروسيا ودول أخرى. وتمكن الجواسيس من إدراج 
برمجيات حاسوبية يمكن استخدامها عن بعد لإحداث أضرار في شبكة الكهرباء“'. 

وبعد ذلك بوقت قصيرء وبالتحديد في الثالث والعشرين من يونيو من عام 20٠١5‏ 
تم تأسيس الأسطول الأمريكي لمكافحة الجرائم الإلكترونية لحماية الشبكات الحاسوبية 
التابعة لوزارة الدفاع من هجمات الأعداءء وذلك للقيام بكل ما من شأنه حماية الشبكات 
الحاسوبية. وفي وقت تأسيس هذا الأسطول الجديد كانت هناك مخاوف من فرض قيود لا 
داعي لها على الاستخدام المدني للإنترنت بحجة الدفاع عن البلاد. 


(13) Gorman, S., Cole, A. and Draezen, Y. "Computer spies breach fighter-jet project, Wall Street 
Journal, April 21, 2009. 


(14) Gorman, S. "Electricity grid in US penetrated by spies,” Wall Street Journal, April 8, 2009. 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات £i‏ 





الفصل الأول 


Y‏ عملي ة أورورا وجوجل - الصين: في الثاني عشر من يناير من عام ٠٠٠١١‏ أعلن مدير 
شركة جوجل للشؤون القانونية في مدونته الإلكترونية أنه اكتشف محاولة لسرقة حقوق الشركة 
«d. S‏ وهذم اللحاولة قادمة من القن (السبكل (V-Y‏ واسعهيدفت هذه اللحاولة Là]‏ 
الوصول إلى رسائل البريد الإلكترونية لبعض الناشطين الصينين في مجال حقوق الإنسان. صعدت 
الحكومة الأمريكية هذا الحادث مع الكونغرس لتعلن نيتها عن التحقيق في هذه الادعاءات» كما 
وصف وزير الخارجية الأمريكي الرقابة الصينية على الإنترنت بحائط برلين في العصر الحديث. 
وأوضحت التحقيقات التتالية أن مصدر الهجمات أ من اثنتين من المؤسسات التعليمية 
في الصين (Lanxiang Vocational School) (Shanghai Jiaotong University)‏ وعد 
المؤسسة التعليمية الصينية الأولى موطنا لأفضل برامج علوم الحاسب الآلي في الصينء في حين 
تشارك المؤسسة التعليمية الصينية الثانية في تدريب علماء الحاسب الآلي التابعين للجيش 
الصيني”". لكن الصين نفت التدخل الحكومي الرسمي في هذه الهجمات» وقالت إن مثل هذه 
الهجمات هي محاولات للطلاب لصقل مهاراتهم في الحاسب الآلي. 

الشكل :)1-١(‏ مكاتب شركة جوجل في الصين 


X 





۷ إبريل. -Y- Y‏ شبكة سوني بلاي ستيشن :(Sony PlayStation Network)‏ أعلنت 
شركة سوني عن حدوث هجمات خارجية على كل من شبكة بلاي ستيشن وخدمات 
.(Qriocity service)‏ وحصل المهاجمون على المعلومات الشخصية لأكثر من V*‏ مليون 

شترك. وم تستبعد الشركة احتمالية سرقة بيانات بطاقات الدفع الائتمانية. ونتيجة لذلك 


(15) Markoff, J. and Barboza, D. “2 China schools said to be tied to online attacks New York Times, 


February 18, 2010,http://www.nytimes.com/2010/02/19/technology/19china.html (accessed January 8, 2012). 
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المقدمة 


قامت الشركة بفصل خدماتها عن الشبكة حتى يتم التأكد من أن البرمجيات الخبيثة تمت 
إزالتها بشكل كامل من الشبكة. وخلال ذلك الوقت كان املايين من الأطفال من جميع 
أنحاء lol‏ يخططون لقضاء إجازتهم الصيفية للعب إلكترونياً على شبكة بلاي ستيشن, 
لكن وبسبب هذه الحادثة توجب عليهم البحث عن بدائل أخرى لقضاء وقتهم. وعلى 
الرغم من اعتبار هذا الهجوم غير ضار نسبياً على الشبكة» إلا أن الأثر كان ضخماً على الأسر 
في جميع أنحاء العالم حيث كانت كل عائلة لديها أطفال تتابع التطورات اليومية لهذا 
الحادث. 


هذا التسلسل الزمني الوجيز يبرز كيف تطورت هجمات أمن ال معلومات من مرحلة 
إثبات نجاح مفاهيم الهجمات الإلكترونية إلى مرحلة القيام بالهجمات بدوافع تجارية لسرقة 
معلومات بطاقات الدفع الائتمانية. وحتى وقت متأخر كان الاشتباه حتى في الحكومات 
بأنها تستخدم الجرائم الإلكترونية لتنفيذ برامجها. وف أوروبا برزت مدينة رومانية نائية 
تدعى رمينكو فيلتش» كنقطة محورية عاممية في غسيل الأموال الناتجة عن جرائم الإنترنت. 
وفي مكان بعيد من هذه المدينة يوجد وكلاء لبيع سيارات مرسيدس بنز والسيارات الفارهة 
الأخرى”". وبالإضافة إلى ذلك فإن الاستجابة الاجتماعية للجرائم الإلكترونية قد تطورت 
أيضا. فنرى القضاة يحذرون المتطفلين على شبكات الإنترنت» والقوانين تمنح استثناءات 
محددة PARU‏ على الرغم من مشاركتهم المعروفة ف الهجمات الإلكترونية (كعصابة (EVE‏ 
والحكومات تؤسس أساطيل عسكرية للتعامل مع أمن الإنترنت. 


تعريف أمن المعلومات: 

ومما سبق تتضح خلفية اهتمام ا منظمات بأمن المعلومات. وإذا كنت متتبعاً لمثل تلك 
القضايا فإنك ستلاحظ أن تلك الحوادث لها تأثيرات مختلفة في أمن المعلومات. ففي حادثة 
عصابة 6١6‏ كانت المشكلة الكبرى في فقدان الخصوصية. وفي حالة أنرون كان التأثير في دقة 
المعلومات. وف حالة جورجيا كان التأثير في قدرة ا مواطنين للوصول إلى المعلومات المطلوبة. 
ومن ثم فإن مفهوم أمن المعلومات قد يختلف باختلاف الأشخاص. 
(16)Bhattacharjee, Y. “How a remote town in Romania has become cybercrime central Wired‏ 


Magazine, January 31, 201 Lhttp://www.wired.com/magazine/2011/01/ff hackerville romania/all/1 (accessed 


January 8, 2012). 


أمن المعلومات وإدارة مخاطر تقنية ال معلومات £Y‏ 








الفصل الأول 


ويُعرّف أمن المعلومات بأنه حماية كل من المعلومات ونظم المعلومات من الأعمال غير 
المصرح بها كالوصول أو الاستخدام أو الإفشاء أو الإخلال أو التعديل أو التدمير وذلك لضمان 
التكامل» والخصوصية» والجاهزية. 

وعلى الرغم من أن التعريف أعلاه يستند إلى مدونة قانون الولايات المتحدة 
الأمريكية (القسم Yo£Y‏ الفصل Yo‏ عنوان €€( P"‏ إلا أنه يتسق بشكل ملحوظ مع 
تعريفات قطاع الأعمال. على سبيل «JUL‏ تشير طلبات ال ملاحظات C" (REC)‏ المنشورة 
من فريق عمل هندسة الإنترنت (Internet Engineering Task Force)‏ والمتعلقة بأمن 
ا معلومات» إلى أن الأهداف الأساسية للأمن هي: التكاملء والخصوصية» والجاهزية. 


ا مختصر الثلا المكون من الحروف التالية :C.LA‏ 


يذكر المتخصصون في القانون الأبعاد الثلاثة لأمن المعلومات بهذا التسلسل: التكامل (Integrity)‏ 
والخصوصية (Confidentiality)‏ والجاهزية (Availability)‏ لكن هذه الأبعاد الثلاثة هكن 


تذكرها بشكل أفضل إذا وضعناها في تسلسل مختلف قليلاً وهو المختصر الثلائ المكون من C.LA‏ 
حيث الحرف (C)‏ يرمز للخصوصية (Confidentiality)‏ والحرف (I)‏ برمز للتكامل (Integrity)‏ 
والحرف (A)‏ يرمز للجاهزية (Availability)‏ وللحفاظ على التناسق في هذا المختصر الثلائي 
المشهورء سنناقش أبعاد أمن المعلومات في هذا التسلسل: الخصوصية. والتكاملء والجاهزية. 





الخصوصية: 

وفقا للمادة Yot£Y‏ من قانون الولايات المتحدة فإن الخصوصية تعني الحفاظ على 
القيود xoc‏ للإذن بالدخول إلى الأنظمة والإفصاح عن اممعلوماتٽ» متضمنا ذلك وسائل 
حماية الخصوصية الشخصية وامعلومات السرية. 


QV)‏ توجد مدونة قانون الولايات المتحدة على شبكة الإنترنت من مصادر عديدةء لكن الناشرين في كثير من الأحيان 
يقومون بتغيير الرابط الإلكتروني في مواقعهم الإلكترونية. فمن الأفضل البحث عن المدونة بكتابة (Yo£Y US code)‏ 
في جوجل للعثور الموقع الإلكتروني. وفي الثامن من يناير من عام 7١١7‏ كانت النتيجة الأعلى لكلية الحقوق في جامعة 
كورنيل على الرابط التالي: html.-...----....POEY €€ http//www]law.cornelledu/uscode/usc sec‏ 

(M)‏ يقصد ب (RFC)‏ طلب التعليقات (Requests for Comments)‏ وهي الوثائق التي نشرها فريق عمل هندسة 
الإنترنت وهي المجموعة التي 3423 معايير الإنترنت Le‏ في ذلك ال (TCP/IP)‏ 


(19) Fraser, B. RFC 2196 site security handbook, September 1997, http://www.ietf.org/rfc/rfc2196.txt 
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المقدمة 


ويؤكد القانون حق الأفراد في الخصوصية» وهذا الحق يشمل ال معلومات التي قد يتسبب 
نشرها بإحداث أضرار أو إحراج للشخص. وتعد الخصوصية إحدى مسؤوليات القائمين على 
المعلومات وذلك لضمان خصوصية معلومات الأفراد التي هلكونها. وجميع أمثلة سرقة 
بيانات بطاقات الدفع الائتمانية التي تمت مناقشتها في هذا الفصل تتعلق بفشل المنظمات 
في الحفاظ على سرية المعلومات التي في حوزتهم. 

وإذا طلبت تعريفاً لأمن المعلومات من العامة فإن معظم الناس ستكون إجابتهم مقاربة 
للتعريف التالي: «أمن المعلومات يعني عدم فقدان بيانات بطاقات الدفع الائتمانية» حيث 
يربط معظم الناس أمن المعلومات بالخصوصية. 
التكامل: 

التكامل يعني الحماية من تعديل المعلومات أو تدميرهاء ويشمل ذلك التأكد من عدم 
إنكار المعلومات ومصداقية تلك ال معلومات. 

عند طلبك تقريراً من أحد أنظمة المعلومات كالدرجات الخاصة بك في الجامعة أو 
كشف حساب شهري من حسابك المصرفي فأنت على يقين بأن معلومات التقرير موثوقة 
ويمكن الاعتماد عليها. على سبيل JELI‏ عندما تستلم كشف رصيد حسابك البنكي فإنك 
لا تشعر بضرورة التحقق من أرقام العمليات الحسابية الخاصة بالرصيد الدائن واممدين 
وإيرادات الفوائد. وبدلا من ذلك فإنك تثق ob‏ البنك قام بعمل الحسابات الصحيحة. 
تخيل كيف أن الحياة ستكون معقدة في حال عدم الوثوق بدقة المعلومات التي تتلقاها من 
الأنظمة التقنية. التكامل هو بعد أمن المعلومات الذي يمنع حدوث ذلك. 

في الأمثلة التي ناقشناها أعلاه. فإن عدم قدرة الأنظمة التقنية من منع كبار المسؤولين 
في شركة أنرون» وشركة وورلدكوم من التلاعب بسجلات الشركة لخدمة مصالحهم الشخصية 
أمثلة على فشل التكامل. 


الجاهزية: 


الجاهزية تعني ضمان الوصول الموثوق للمعلومات واستخدامها في الوقت المناسب. 


أمن المعلومات وإدارة مخاطر تقنية ال معلومات £o‏ 


الفصل الأول 


عند تسجيلك الدخول لصفحة الإنترنت الخاصة مقررك الدراسي فإنك تتوقع أن يكون 
المقرر الدراسي موجوداً على صفحة الإنترنت وهذا في جوهره هثل الجاهزية. إن أهمية 
الجاهزية لأمن المعلومات واضحة ولا تحتاج إلى تفسير. نظام ال معلومات غير المتاح هو 
نظام معلومات غير مفيد. وف الأمثلة أعلاهء جاء رد شركة se‏ بلاي ستيشن Sony)‏ 
(PlayStation Network‏ بوصفه أحد الأمثلة على فشل الجاهزية. ومعظم الفيروسات 
الحاسوبية أيضاً الأثر نفسه المتمثل في حذف الملفات المهمة مما يؤدي إلى فقدان الجاهزية. 
حتى إذا كان بالإمكان في نهاية المطاف استعادة الملفات من أنظمة النسخ الاحتياطي أو من 
مصادر أخرىء فإن الوقت الضائع في استعادة تلك coul‏ م يتم استغلاله بالشكل الأمثل 
ويمثل فقدانا للجاهزية. 


حق الخصوصية: 

من بين أبعاد أمن المعلومات الثلاثة. رها كان تعريف الخصوصية تعريفاً دقيقاً هو 
الأكثر صعوبة, وذلك لأن التوقعات الاجتماعية من الخصوصية متغيرة بشكل كبير. ما يعده 
نكن ما غاص كالمو يهان ”معدل die eS ssa M «JEU‏ مخض las eT‏ كان بعد 
خاصاً في السابق قد لا asd‏ كذلك الآن. وبينما تحمي المنظمات خصوصية الموظفين بشكل 
cv‏ قد لا مانع هؤلاء الموظفون من مشاركة المعلومات نفسها وبطيب خاطر على شبكات 
التواصل الاجتماعي والمواقع الأخرى. وفي الواقع فإن حق الخصوصية يُعد حديثاً نسبياً 
في القانون الأمريي. وجاءت أول إشارة حديثة لحق الخصوصية في عام ۱۸۹٠‏ في مقال 
في مجلة هارفارد للويس برانديز (الذي أصبح قاضي محكمة العدل العليا لاحقا) وشريكه 


صموئيل وارن”". 


الاختراعات وطرق إدارة الأعمال الحديثة تلفت الانتباه إلى الخطوة التالية التي يجب 
اتخاذها لحماية الشخص وتأمينه وهو ما يسميه القاضي كولي «عدم التدخل في الشؤون 
الخاصة». لقد اعتدى المصورون الفوريون والمؤسسات الصحفية على قدسية الحياة 
الداخلية الخاصة. وأصبحت العديد من الأجهزة الآلية تهدد بتحقيق التوقع بأن «ما 
يهمس به في الخزانة سوف يذاع على سطح المنزل». ولسنوات كان هناك اعتقاد ob‏ 


(20) Brandeis, L.D. and Warren, S.S. "Ihe right to privacy" Harvard Law Review, December 15, 1890, 


4(5):http://groups.csail.mit.edu/mac/classes/6.805/articles/privacy/Privacy brand warr2.html (accessed 1/12/2012). 
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القانون يجب أن يتحمل مسؤولية علاج التداول غير المصرح به للصور الخاصة بالأشخاص.... 
ونرى Ob‏ الصحافة تتجاوز في JS‏ اتجاه الحدود الواضحة لآداب وأخلاق المجتمع. وم تعد 
الاعات do‏ من الول و القر ير بل امت (s opa gs‏ من فطافا ت اعمال 
ويتم تداولها بكل جرأة... وأصبح الفرد معرضاً للضغوط النفسية والضيق من خلال انتهاك 
الزات الحديقة واكتزاعاتها لخضوضية القرة وهذة الغو 1l‏ أكر كر مهنا 
يمكن أن تسببه الإصابات الجسدية. 

وكان هذا المقال ناتجاً عن موجة غضب من قبل صموئيل وارن la;‏ على التغطية 
الإعلامية لأحداث المجتمع الراقي ف ذلك الوقت» متضمن] ذلك الأحداث التي جرت على 
عائلة وارن والتي كانت تتبع العادات الاجتماعية السائدة في ذلك الوقت مما سبب إحراجاً 
كبيراً لعائلة وارن". وقد يجد القارئ تشابها غريباً بين هذه الأفكار من القرن التاسع 
عشر وبين مناقشات الخصوصية في القرن الواحد والعشرين المتعلقة بالفيسبوك وغيرها 
من مواقع التواصل الاجتماعي”". وفي السنوات الأخيرة ومع زيادة مخاوف المنظمات على 
أمن المعلومات اقترح العديد من الخبراء توسيع تعريف أمن المعلومات ليشمل جوانب 
أخرى مثل عدم إمكانية الإنكار Sio)‏ إذا قامت شركة بخصم تكاليف خدمة تم طلبها عبر 
الهاتف من بطاقتك الائتمانية وأنت تنفي طلب الخدمة» كيف هكن إثبات أنك فعلاً من 
قام بطلب الخدمة؟). لكن ولأهداف هذا المقرر الدراسي سنركز على التعريف التقليدي 
لأمن المعلومات وأبعاده الثلاثة: التكامل» والخصوصية» والجاهزية. 


دليل شخصي للحفاظ على أمن المعلومات: 

إذا كنت تدرس أمن المعلومات رها كان من الأفضل أن نبدأ بحديث مقتضب BAL‏ 
دقيقتين عن أمن المعلومات للإجابة عن السؤال التالي: كيف هكنني الحفاظ على أمن 
المعلومات بطريقة جيدة؟ ورها تتلقى هذا السؤال من الأصدقاء وأفراد العائلة الذين 
يشعرون بالقلق حول أمن ال معلومات الخاصة بهم. وكل خبير سيعطيك إجابة مختلفة 
استنادا إلى تجاربهم الخاصة. وهذه إجابتنا: 


(21) Gordon Crovitz, L. “The right to privacy from Brandeis to Flickr, Wall Street Journal, 7/25/11. 


(22) Facebook has a very well-written “Guide to Facebook security, at https://www.facebook.com/ 


notes/facebook-security/ownyourspace-a-guide-to-facebook-security/10150261846610766.. 
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إذا كنت ترغب في الحفاظ على أمن المعلومات الخاصة «tb‏ يتوجب عليك القيام Ue‏ يلي 
للحصول على أفضل النتائج: 

برامج مكافحة الفيروسات: تأكد أنك تستخدم برنامج لمكافحة الفيروسات وأن اشتراكك 
في هذا البرنامج حديث وغير منتهي الصلاحية. وكثير من الناس يمكنهم عضول ع 
برامج مكافحة الفيروسات بوصفها جزءاً من اشتراكهم مع مزودي خدمات الإنترنت ISP)‏ 
أو من أرباب العملء أو من الجامعات والمدارس. 

أقمتة تحديث البرامج: قم بضبط نظام التشغيل والبرامج التطبيقية لتشغيل التحديث 
تلقائياً كلما كان ذلك ممكنا. 

كلمات !4 59: إذا كان ممكناً استخدم كلمة مرور مختلفة لكل موقع يتطلب كلمة 
مرور. أما إذا كان ذلك ضعا فاستخدم على أقل تقدير كلمتين من كلمات المرور: واحدة 
ممواقع ا مرح كمواقع النشرات الإخبارية والبريد الإلكتروني وما إلى «US‏ والأخرى للمنظمات 
المالية كالبنوك وشركات الوساطة المالية. وفي أي مكان كنت ومع أي شخص تحدثت لا 
تفصح عن كلمة ا مرور ls at‏ وكوسيلة سهلة للمزيد من ial‏ بطن Gals‏ 
المرور بالرموزء مثلاً (pass-word)‏ كلمة ليست la d suo‏ لتذكرها لكنها إلى حد ما أكثر 
ul‏ من .(password)‏ 


الملخص: 

قدم هذا الفصل لمحة موجزة عن أمن المعلومات. وبدأ هذا الفصل بذكر الأسباب التي 
أدت إلى اعتقاد الشركات بضرورة الاستثمار في أمن المعلومات. كما تم التعرض لأنشطة 
المتخصصين في أمن المعلومات والتي تأخذ معظم وقتهم. وكان هناك مراجعة سريعة لأهم 
حوادث أمن المعلومات التي حدثت في الربع الأخير من هذا القرن. ورأينا اعتمادا على 


Gb (YY)‏ هذه التوصية من حقيقة أن العديد من الجرائم تحدث عندما تقوم المواقع الإلكترونية بحفظ كلمات المرور 
بدون تشفير. وإذا تم اختراق هذه المواقع فإن القرصان سيتمكن من الحصول على كلمة المرور الخاصة بك وبالتأكيد 
سيقوم باستخدامها في مواقع البنوك الإلكترونية ومواقع الوساطة المالية. ولمعلومات مفيدة أكثر عن هذا الموضوع 
يُنصح بقراءة مقال جيمس فالوز, Hacked! The Atlantic, November 201 Lhttp://wwwtheatlantic.com/"‏ 


(12/13/hacked/8673/ (accessed 01/11/magazine/archive/2011 
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هذه الخبرات أن قطاعات الأعمال قامت بتعريف أمن المعلومات متضمناً المختصر الثلائي 
المكون من :C.LA‏ الخصوصية (Confidentiality)‏ والتكامل (Integrity)‏ والجاهزية 
(Availability)‏ 


ds‏ بقية هذا الكتاب سنركز على كيفية تطوير المهارات اللازمة لتطبيق أمن المعلومات 
حيث jas‏ بأساسيات إدارة النظم والبرمجة لتمكين الطلاب من التفاعل مع التكنولوجيا 
خلال الفصل الدراسي. ونركز على مهارات إدارة النظم والبرمجة لأننا نعتقد أن هذه 
المهارات من عناصر ا مفاضلة الهامة على الوظائف وخاصة للموظفين المبتدثين. وبعد 
ذلك ننتقل إلى الموضوعات النظرية في القسم الثاني من الكتاب. ولتطبيق أمن المعلومات 
نستعرض نموذجاً يتكون من الأصولء والثغرات الأمنية» والتهديدات» والضوابط. وسوف 
نوضح كيف يتم تحديد الأصول والتهديدات» وكيف يتم التعامل مع الحوادث. وأخيراً 
سندرس المجالات الإدارية والتنظيمية في القسم الثالث من هذا الكتاب. 


نموذج حالة - ويكيليكس» كيبلقيت» والسيطرة الكاملة على مجموعة من الشبكات: 

في شهر فبراير من عام ٠‏ بدأ موقع ويكيليكس غير ا معروف نسبياً بنشر مجموعة من 
المذكرات السرية من سجلات وزارة الخارجية الأمريكية. وفي صيف عام ٠٠٠١‏ وصل موقع 
ويكيليكس إلى اتفاق مع الصحف الرائدة في مختلف أنحاء العام basis‏ ذلك dbz‏ 
نيويورك تاز في الولايات المتحدة الأمريكية وصحيفة دير شبيغل في أطانياء لنشر برقيات 
مختارة من السجلات بصيغة منقحة أي بعد إزالة المعلومات التعريفية من السجلات. 
وأول هذه البرقيات تم نشرها في شهر نوفمبر من عام ۲۰۱۰. وبحلول شهر سبتمبر من 
عام 7١١١‏ تم اختراق أمن ملفات ويكيليكس بحيث أصبح أي شخص يستطيع رؤية جميع 
المذكرات بشكلها الكامل على الإنترنت. وتم تصنيف قرابة نصف المذكرات المسربة بأنها 
yè»‏ خاصة». و (E0)‏ تم تصنفيها apo‏ «خاصة»» والباقي تم تصنيفها بأنها «سرية» . 
وم يتم تصنيف أي من المذكرات بأنها «سرية للغاية». وحصلت هذه الحادثة على لقب 
كيبلغيت .(Cablegate)‏ 

ويكيليكس هي منظمة غير ربحية بدأت في عام Y V‏ ويعد جوليان أسانج القوة 
الرئيسية وراء ويكيليكس. وهو مبرمج كمبيوتر مميز وقدير من أستراليا ولديه حماس 
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قوي للإصلاح المعتمد على حرية الصحافة. وبناءً عليه OB‏ مهمة ويكيليكس هي مساعدة 
uoti‏ الذون يرضتوق ا عن عالقا والفنناه وإيقالينا إل الصعيفق يدون 
معرفة هوياتهم» وذلك من خلال توفير صندوق استلام إلكتروني آمن ولا يطلب هوية 
المستخدم. كما b‏ موقع ويكيليكس بدافع من مبادئ حرية الكلام وحرية النشر لوسائل 
الإعلام. كما أن ويكيليكس فخورة بسجلها في الدفاع عن الصحفيينء وفخورة أيضا بعدم 
تحديد هوية مصادرها ضد الهجمات القانونية والسياسية التي تهدف للحصول على هويات 
هذه المصادر. 


وتعد المذكرات التي تم تسريبها من قبل ويكيليكس نتيجة جهد عقود من الزمن في 
جمع المعلومات عن طريق المكاتب الدبلوماسية الأمريكية في جميع أنحاء العالم. وتعود 
أقدم مذكرة إلى عام MT‏ وكان تسريب المذكرات مصدراً لإحراج كبير لوزارة الخارجية 
الأمريكية. ولخصت المذكرات المسربة تحليلات قام بها قادة العام والدبلوماسيين الأمريكيين. 
وانعكاسا للمواقف الجيوسياسية جاءت هذه التحليلات غالبا على خلاف المواقف العامة 
للقادة. وتعتمد رغبة القادة في مشاركة تحليلاتهم في المقام الأول على الثقة الكاملة في 
قدرة وزارة الخارجية الأمريكية على الحفاظ على سرية المعلومات وعلى هوياتهم. ولعدم 
وجود تسريب للمعلومات في الماضي تمتع الدبلوماسيون الأمريكيون في جميع أنحاء العام 
بدرجة عالية من المصداقية في السلك الدبلوماسي» وهذا سمح لهم بالوصول إلى المعلومات 
الحساسة والمتميزة. 

وفي الواقع متى جرى تسريب المذكرات فإن الصحف الرائدة في العديد من الدول تقوم 
بنشر مقتطفات من المذكرات التي تتعلق ببلادهم لإرضاء فضول القراء حول ما تعرفه 
الولايات المتحدة الأمريكية عن وطنهم. 
المصدر - الجندي أول برادلي مانينغ: 

برادلي مانينغ هو جندي أول في الجيش الأمريي كان عمره Lale Y‏ وقت حادثة 
كيبلغيت. تجند برادلي في الجيش الأمريكي في عام ۲٠١۷‏ وتدرب ليصبح محلل استخبارات. 
وخلال هذا الوقت تمكن برادلي باستخدام علاقاته من التواصل مع أحد المبرمجين المتحمسين 
لخدمة المجتمع وهو من جامعة برانديز بالقرب من بوسطن. وفي عام ٠٠١8‏ كان برادلي 
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أحد الجنود الذين تم نشرهم في العراق» وأعطته وظيفته هناك صلاحية الدخول لاثنتين 
من شبكات المعلومات: الأولى (SIPRNet)‏ والثانية نظام الاتصالات الاستخباراتي quls!‏ 
المشترك (JWICS)‏ ويمتلك أكثر من ثلاثة ملايين موظف حكومي ($a ya]‏ صلاحية الدخول 
لهاتين الشبكتين. وجاءت صلاحية الدخول الواسعة لهاتين الشبكتين نتيجة لهجمات الحادي 
عشر من سبتمبر حيث كان يعتقد أن العجز الموجود في تبادل المعلومات داخل الحكومة 
كان مسؤولاً - ولو جزئياً - عن فشل الحكومة الأمريكية في صد تلك الهجمات. 

وتن خلال تلك الفسبكتين حضل الجتدي iila dol‏ عن المذكرات les a pad‏ فن 
عامي ۲۰۰۹ و١٠٠٠‏ قرر تمرير هذه المذكرات السرية إلى ويكيليكس. وقي شهر مايو 
من عام ٠٠٠١‏ عرضت مجلة (Wired)‏ بعض المعلومات عن مجتمع قراصنة الإنترنت 
وبالتحديد عرضت معلومات عن شخص يدعى أدريان لامو وهو أحد قراصنة الحاسب 
السابقين. ويعتقد أنه نتيجة لهذا el JAL‏ الجندي أول مانينغ بالاتصال بقرصان الحاسب 
لامو والحديث dzo‏ بواسطة برنامج الرسائل الفورية (AOL)‏ وأثناء الحديث كشف 
مانينغ أنه eB‏ بتسريب المذكرات كما أشار إلى دوافعه للقيام بذلك. وقرر لامو أن يخبر 
السلطات بذلك مما أدى إلى اعتقال الجندي أول مانينغ وإفشاء هوية مصدر ويكيليكس. 
ونشرت مجلة (Wirde)‏ نص الحديث الذي دار بين الجندي أول مانينغ وأدريان لامو . 
ومن العبارات المميزة في هذا النص (117:10:11 (PM‏ إذا كان لديك سيطرة كاملة على 
مجموعة من الشبكات لفترة طويلة من الزمن...لنقل ثمانية إلى تسعة أشهر...ورأيت أشياء 
لا تصدق» أشياء مروعة...أشياء موجودة للجميع على النطاق العام...وليست موضوعة في 
بعض الحواسيب الخادمة (Servers)‏ المخزنة في غرفة مظلمة في واشنطن العاصمة...ماذا 
كنت ستفعل؟ 

واتهم الجندي أول مانينغ في اليوم الثالث والعشرين من شهر فبراير من عام 7١17‏ أمام 
محكمة عسكرية بارتكاب جرائم من بينها مساعدة العدو. وعلى الرغم من أن مساعدة 
العدو جريمة كبرى تصل عقوبتها إلى الإعدام إلا أن النائب العام لم يسع إلى عقوبة الإعدام 
في هذه الحالة. 


(24) http://www.wired.com/threatlevel/201107//manning-lamo-logs/ 
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المراجع: 
http://en.wikipedia.org/wiki/United States diplomatic cables leak‏ 
http://en.wikipedia.org/wiki/Bradley Manning‏ 
http://www.bbc.co.uk/news/worldY \ - £VAVV-‏ 
http://www.wired.com/threatlevel/* V/Y - Y /manning-lamo-logs/‏ 


http://www.cablegatesearch.net/ 


أسئلة مراجعة للفصل: 
.١‏ ما هي بعض نقاط القوة في أمن المعلومات كخيار وظيفي؟ 


۲. ماهي بعض الطرق التي يمكن من خلالها استخدام المعلومات المسروقة لتحقية 
الأربياح؟ 
رو 


. ماهي بعض الطرق الأكثر شيوعا والتي من خلالها يؤدي إهمال امستخدمين 
النهائيين إلى إمكانية فقدان المعلومات الحساسة؟ 
. ما هي بعض المسؤوليات المهنية المشتركة بين خبراء أمن المعلومات؟ 
5. قدم وصفا مختصرا لأنشطة خبراء أمن المعلومات والتي يقضون فيها معظم وقتهم. 
1. اشرح بشكل موجز أهم المهارات التي من المتوقع أن تكون لدى خبراء أمن المعلومات 
لتحقيق النجاح في عملهم. 
۷. كيف أثر تطور تقنية الشبكات الحاسوبية (TCP/IP)‏ غير المكلفة في أمن ا معلومات؟ 


«X 


(^ 


EVE اشرح بشكل مختصر أنشطة عصابة‎ A 

9. اشرح بشكل مختصر تأثير عصابة ١6‏ على أمن المعلومات. 

C£ o. *‏ ) 3 5 مختص دودة موريس الخبيثة. ما العوامل التي تجعل منها نقطة بارزة 
في تطور أمن المعلومات؟ 


oY‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


المقدمة 


١م‏ تأثير نظام التشغيل (ويندوز 3/0( في أمن المعلومات؟ 

.كيف أثر قانون إمكانية نقل التأمين الصحى والمساءلة (HIPPA)‏ فى وظائف أمن 
ا معلومات؟ l l‏ 

.ما الأحكام الواردة في قانون ساربينز أوكسلي (Sarbanes-Oxley Act)‏ والتي 
تتعلق بأمن المعلومات؟ 

٤.ما‏ العوامل المباشرة التي أدت إلى تأسيس الأسطول الأمريكي لمكافحة الجرائم 
الإلكترونية؟ 

٥.قدم‏ شرحاً مختصراً للأ طول الأمريكي لمكافحة الجرائم الإلكترونية والأنشطة التي 
يقوم بها. 

ls. V1‏ عملية أورورا وجوجل التي تمت من الصين؟ 

۷.اشرح بشكل موجز انقطاع الخدمة الذي أثر في شبكة سوني بلاي ستيشن في عام 
eM‏ 

.ما أمن المعلومات؟ 

Ls. VÀ‏ الخصوصية؟ 

Ls. Y -‏ التكامل؟ 

Ls. Y Y‏ الجاهزية؟ 

Jac]. YY‏ مثالاً على انتهاك الخصوصية. 

Jac]. YY‏ مثالا على انتهاك التكامل. 

Va Jac. Yt‏ على انتهاك الجاهزية. 


0 رأيك ما أهم عنصر من عناصر أمن المعلومات الثلاثة؟ وماذا؟ 


أمن المعلومات وإدارة مخاطر تقنية ال معلومات oY‏ 


الفصل الأول 


أسئلة على نموذج الحالة: 
.١‏ من أبعاد أمن المعلومات الثلاثةء أيها تأثر بحادثة كيبلغيت؟ 
. في اعتقادك ما الذي دفع الجندي dal‏ برادلي مانينغ لتسريب المذكرات لويكيليكس 
ومن ثم مناقشة تصرفه هذا مع أدريان لامو وهو يدرك جيداً مخاطر تصرفه هذا؟ 
Y‏ استناداً إلى المعلومات ا معلنة والمتاحة؛ ما التدابير التي اتخذتها الحكومة الأمريكية 
لتأمين ا مذكرات؟ 
.٤‏ وإلى أي مدى هذه التدابير فعالة؟ 
0. لو كنت مسؤولاً عن أمن المعلومات المتعلق بهذه المذكرات, ما الذي ستقوم به لمنع 
وقوع الحوادث المشابهة لحادثة كيبلغيت؟ 
5. وف اعتقادك ماذا لم يقم الخبراء المسؤولون عن أمن ا معلومات المتعلق بالمذكرات 
باتخاذ الإجراءات التي اقترحتها أعلاه؟ 
نشاط التدريب العملى - مراقب البرمجيات, إخفاء المعلومات: 


في نهاية JS‏ فصل تم تصميم أنشطة للتدريب العملي بهدف مساعدتك لمعرفة الأدوات 
المستخدمة من قبل خبراء أمن ا معلومات. كما تساعدك هذه الأنشطة العملية على تطبيق 
المادة النظرية التي تمت مناقشتها في سياق أنظمة حقيقية. 


:(Secunia Online Software Inspector) برنامج سيكونيا لمراقبة البرمجيات‎ 


في أول نشاط للتدريب العملي ستقوم باستخدام برنامج مجاني لتحديد أهم المشكلات 
الأمنية في أجهزة الحاسب SI‏ التي تستخدم للعمل اليومي» وهذه العملية تسمى التدقيق. 
وأدوات تدقيق أجهزة الحاسب الآلي متوفرة لدى شركات البرمجيات ومزودي خدمات 
الإنترنت. وفي حين نستخدم في هذا التمرين أداة التدقيق المقدمة من شركة (Secunia)‏ 
لك كامل الحرية في استخدام الأدوات المماثلة من الشركة المفضلة لديك. 


ot‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 
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وبرنامج (Secunia Online Software Inspector)‏ متوفر في موقع الشركة e‏ 
ويوضح الشكل (A- V)‏ الموقع الإلكتروني لهذا البرنامج. استخدام هذا البرنامج واضح 
ومباشر. بالضغط على زر (Start Scanner)‏ في الصفحة يبدأ بالفحص مع الخيارات 
الافتراضية. وتستغرق عملية الفحص بضع دقائق. وعند الانتهاء يظهر التقرير في الجزء 
السفلي من الصفحة. ويوضح الشكل dus )1-١(‏ من هذا التقرير. 


الشكل (A-Y)‏ مراقب البرمجيات الفوري 


ويبين التقرير أن جهاز الحاسب الآلي المفحوص يحتوي على العديد من التطبيقات 
البرمجية التي تحتاج إلى تحديث لآخر إصداراتها. وقد رأينا في هذا الفصل أن الإصدارات 
القدمة للبرمجيات. والتي تعرف عادة بالثغرات الأمنية» يمكن استغلالها من قبل 
الفيروسات الخبيثة وقراصنة الإنترنت. ومن الجيد أن نقوم بتشغيل أداة من أدوات 
تدقيق الحاسب JYI‏ - كالأداة المستخدمة في هذا التطبيق - ومن ثم تحديث أو حذف 
التطبيقات القدهة. 


http://secunia.com/) كان الرابط.‎ ۲۰۱۲ ele الروابط الإلكترونية متغيرة بشكل كبير. لکن في الثاني من ديسمبر من‎ (YO) 
وبالطبع فإن الطريقة الأفضل والأكثر موثوقية هي استخدام محرك البحث‎ .(/vulnerability scanning/online 
(.Secunia Online Software Inspector) جوجل للعثور على‎ 
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Source: http://lifehacker.com/YY +4 Y0/geek-to-live--hide-data-in-files-with-easy- 
steganography-tools 


الفصل الأول 


الشكل Y)‏ -3(: تقرير تدقيق جهاز الحاسب JY‏ 


8 
© secunia System 929 Secunia 
o o o o 
» 8 7 > l 
© a E e 
* c. P تت‎ 


أسئلة عن تدقيق أجهزة الحاسب الآلى: 
شغل lol‏ من أدوات تدقيق أجهزة الحاسب الآلي مثل برنامج Secunia Online)‏ 
(Software Inspector‏ ثم قم بأخذ صورة من الشاشة لتقرير التدقيق المشابه للشكل (8-Y)‏ 


ما هي بعض الإجراءات التي تفكر باتخاذها بعد الاطلاع على نتائج تقرير تدقيق جهاز 
الحاسب SI‏ الخاص بك؟ 


إخفاء المعلومات :"(Steganography)‏ 

هذا التمرين يمنحك الفرصة لإلقاء نظرة على ”الجانب المظلم“ من أمن المعلومات. 
وستؤدي في هذا التمرين دور شخص ثوري يحاول إرسال رسالة سرية إلى أصدقائه. وتحاول 
à‏ رسالتك تحديد موعد ومكان للقاء مجموعة من الأصدقاء. وتعتقد أنه تم الاطلاع على 
جميع رسائلك الإلكترونية. 

وهناك العديد من الطرق للقيام بذلك لكن في هذا التمرين سنستخدم طريقة سهلة 
وممتعة. سوف تقوم بإخفاء النص مع المعلومات ذات العلاقة داخل صورة (شعار الجامعة 
على سبيل المثال) ومن ثم إرسالها إلى أصدقائك. وإذا كان أصدقاؤك يعلمون أين يبحثون فإن 
Source: http://lifehacker.com/230915/geek-to-live--hide-data-in-files-with-easy-steganography-tools‏ )26( 
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بإمكانهم بسهولة الحصول على ال معلومات. والهدف من هذا التمرين هو توضيح مدى سهولة 
إنشاء تحديات لأمن المعلومات ومن ثم مدى صعوبة القضاء على مشكلات أمن المعلومات. 


وللقيام بهذا التمرين ستحتاج إلى ما يلي: 

ملف صورة: في حين أن أي ملف صورة سيؤدي الغرض» يفضل أن يكون ملف الصورة 
صغيراً من نوع (jpg)‏ أو gif)‏ ). وعادة صورة شعار جامعتك سيؤدي الغرض. احفظ املف 
على جهاز الكمبيوتر الخاص بك. وفي هذا التمرين نفترض أن يتم حفظ جميع الملفات في مجلد 
التنزيلات لأنه موقع ملائم سواء على أجهزة الويندوز أو أجهزة الماك. ولهذا المثال سيكون اسم 
ملف الصورة logo.gif‏ (إذا كان نوع الصورة (gif‏ أو logojpg‏ (إذا كان نوع الصورة pg‏ 

ملف نصي يحتوي على تاريخ ومكان ووقت الاجتماع: احفظ الملف في المجلد نفسه 
الذي فيه ملف الصورة أعلاه (وأسهل طريقة لإنشاء هذا ا ملف عن طريق برنامج المفكرة 
Notepad‏ ومن ثم كتابة النص وحفظ ال ملف في مجلد التنزيلات). ولهذا JUL‏ سيكون 
اسم املف msg.txt‏ 


عند انتهائك مما سبق فإن مجلد التنزيلات سيبدو كما في الشكل .)٠١-١(‏ 


الشكل :)٠١-١(‏ محتويات مجلد التنزيلات لتمرين إخفاء ا معلومات 
Ss E EBs‏ 


o 0 * Documents ١ Downloads; ۰ “| Se 4 





Name Date modfied Type 
Ec F logo.gif 215/2012141 PM — GlFimege 6KE 
" E logojng 219/012 140 PM JPG File 9K 
, 
9 msgbt 1ASQ2141PM Tot Document 1K 
M 
older A 
msgbt Tot Document 21520012142 PM t bytes 


نحن الآن على استعداد لإخفاء ا ملف النصي داخل ملف الصورة. ولتحقيق ذلك تحتاج 
إلى فتح موجه الأوامر (Command prompt)‏ والذي يمكن الوصول إليه في أجهزة الويندوز 
من خلال: 
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الفصل الأول 
قائمة جميع البرامج (All programs)‏ © البرامج الملحقة (Accessories)‏ € موجه 
الأوامر (Command Prompt)‏ أما في أجهزة الماك فيمكن الوصول إليه من خلال: 
تطبيقات (Applications)‏ © البرامج المساعدة (Utilities)‏ > الوحدة الطرفية (Terminal)‏ 
وللوصول إلى مجلد التنزيلات اكتب الأمر التالي في صفحة موجه الأوامر: 


Cd Documents Downloads 
في أجهزة الويندوز الأمر التالي سيضيف ال ملف الثاني في نهاية املف الأول ويحفظ الناتج في املف الثالث:‎ 
Cd Copy /B file1+file2 file3 


ولاستخدام هذا الأمر بهدف إخفاء CALI‏ النصي في ملف الصورة نستخدم الأوامر التالية: 


Cd Copy /B filel4file2 file3 
Copy /B logo.jpg--msg.txt ico.jpg (for the jpg image) 
Copy /B logo.gif-msg.txt ico.gif (for the gif image) 


وتسلسل هذه الأوامر موضح في الشكل .)١١-١(‏ 


الشكل :)١١-١(‏ أوامر إخفاء ملف نصي في نهاية ملفات الصور 


Command Prompt (SIX‏ قا 
Microsoft Windows (Vers ion 6.0.6002] a‏ 
Copyright <c) 2806 Microsoft Corporation. All rights reserved.‏ 

C:Nisers eagraval.FOREST?cd Docunents\Doun loads 


C:Wsers\nagrawa l, PORES T\Docunents \Down loads dir /p 
Volume in drive C has no label. 

Volune Serial Munber is D814-7F92 

Directory of C:NJsers wagraual., FORESTNDocunents *Doun loads 


82/15/2012 01:53 PM DIR) 
827 012 


15/2042 01:53 PM <DIR>) .. 
92/15/2012 91:41 PM 5,568 logo.gif 
82/15/2842 81:40 PM 8,618 logo.jpg 
W2/15/20012 81:42 PM 29 msg.txt 


File(s) 14,287 bytes 
2 Dir(s) 14,033,035,264 bytes free 
C: Nisers nagraval. POREST\Docunents\Doun loads copy /B logo.gif*msg.txt ico.gif 
logo.gif 
1 file(s) copied. 
Ea Mte ONAL /8 logo.jpg*nsg.txt ico.jpg 
ogo. jpg 
nsg.txt 
1 file(s) copied. 


C: NUsersNnagraval. FORESTNDocunentsNDovn loads) 
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بعد تشغيل هذه الأوامر ستظيهر محتويات مجلد التنزيلات كما $ الشكل )١1١-١(‏ 
(وبالإمكان معاينة الصور عن طريق عرض © أيقونات كبيرة). 


الشكل :(YY- Y)‏ الصور ال معالجة مع الصور الأصلية 
c‏ نس ات ioci‏ 
e * Agrawal Manish » Documents » Downloads‏ 6 


"nm ع‎ 


ed 


موا 


وقد تلاحظ أن الصور المعالجة (ico.gif and ico.jpg)‏ لا مكن تمييزها عن الصور 
الأصلية .(logo.gif and logo.jpg)‏ والشخص الذي ليس على ele‏ بأنشطتك لن يلاحظ 
أي نقص في الصور المعالجة. وبإمكانك التحقق من أن هذه الصور يمكن فتحها في برنامج 
ا متصفح وبقية التطبيقات الأخرى. كما يمكنك التحقق من أنه يمكن استخدام هذه الملفات 
بشكل مطابق لاستخدام ملفات الصور الأخرى. 

لكن كيف يتمكن أصدقاؤك من استرداد المعلومات ال مخفية في الصور؟ 

ويتضح أنه من السهل عليهم القيام بذلك من خلال استخدام التطبيق المناسب وهو في 
هذه الحالة برنامج المفكرة (Notepad)‏ قم بتشغيل برنامج المفكرة Notepad‏ ثم اختر 
ملف ^€ فتح» ثم انتقل إلى مجلد التنزيلات. قم بتغيير نوع املف إلى كافة الملفات (*.*) 
كما à‏ الشكل (YY-Y)‏ واختر Us]‏ ملف Us] (ico.gif)‏ ملف ) .(ico.jpg‏ 


الشكل :(W-*)‏ فتح ملفات الصور à‏ برنامج المفكرة Notepad‏ 
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تجاهل النص غير المقروء وانتقل إلى نهاية الملف وسوف ترى Là‏ مماثلاً لما في الشكل 
.(V&-V)‏ 


الشكل :(Y€-Y)‏ الرسالة السرية المخفية ف نهاية ملف الصورة 
ico.gif - Notepad ong & EI‏ 
Eile Edit Format View Help‏ | 

zmo-4OLIÓNOv-Eol-OVOfmES-0) _ 
[ÈB] xbG -AOEuO» 0706٠ 1È ' Y'OvÓ41C 
¬Û%+0L YOviU6-02L"u-OLOf ; f. 

Uo-ÀniQ:kU"E* iU XO«1014À‏ )د 
MUCeÜ"E€yY «e YaUs TÜGMOU) br‏ 
«01EKA0070, JÉ%‏ 3 مع« اولمع Aca f‏ 

WWiU aeeÉVÍR/AY* ; Bü (0o] a£ 

»&t»ÓTYantüs yat et 0-0-1U! 
(^0$-0' atn ]Yà«0'0?]E is 
1/115^0Gl?0«Ap« ; South Beach, 
May 4, 2012, 3pm s 











وترى أنه من الممكن خلق تحديات مثيرة لأمن المعلومات باستخدام أدوات تقنية 
بسيطة ومتوفرة للجميع. وقد تدرك الآن أن هذه الإمكانات قد تسبب الذعر لخبراء أمن 
ا معلومات. ما قمت به في هذا التمرين يدعى إخفاء المعلومات (Steganography)‏ وهو 
إخفاء المعلومات بطريقة لا يشك أحد في وجودها. 


أسئلة على تمرين إخفاء المعلومات: 

أنشئ صورة فيها معلومات مخفية باتباع إرشادات هذا القسم. 

قدم نسخة مطبوعة لكل مما يلي: الصورة الأصلية والصورة المعالجة ولقطة من الشاشة 
للنص المضمن في الصورة كما في الشكل .)١5-١(‏ 
تمرين التفكير النقدي: تحديد الأبعاد الثلاثة لأمن المعلومات المتأثرة بعينة 
من حوادث الاختراق الواقعية: 

قَدّمِ هذا الفصل بعضاً من حوادث أمن المعلومات الأكثر إضراراً والأكثر شهرة. ولتسهيل 
الرجوع إلى هذه الحوادث تم تلخيصها في الجدول .)١-١(‏ 
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الجدول :)١-١(‏ حوادث أمن المعلومات الرئيسية وأثرها 
mem‏ لمك Eo e‏ 
Ooo | S aa‏ 
افص تخصمم [CL‏ 
Susi nd‏ عن Lees‏ | 


ولكل.حادث من الحوادث المدرجة ف الجدول حدد بعد أمن المعلومات 35 تضررا 
من بين أبعاد أمن اممعلومات الثلاثة (الخصوصية: التكاملء الجاهزية). وعلى الرغم من أننا 
م نناقش في هذا الفصل التدابير التي تأخذها المنظمات لحماية نفسها ضد هذه الأنواع من 
الحوادث» قم بمحاولة أولية لتحديد بعض التدابير الوقائية التي يمكن للمنظمات القيام بها 
للتأكد من أن هذه الحوادث لن تحدث لها. 





تصميم حالة: 

ولإعطاء الطلاب شرحاً مفصلاً عن عملية تطوير هيكل أمن المعلومات للمنظمة تم تصميم 
حالة مترابطة بجميع موضوعات فصول الكتاب. وفي كل فصل سنقوم باستخدام المفاهيم 
التي جرى التعرض لها في الفصل لبناء هيكل أمن المعلومات للمنظمة. وللمساعدة في هذا 
التمرين تم ترتيب فصول الكتاب بتسلسل مقارب لتسلسل التعامل العملي للموضوعات 
ذات العلاقة بأمن ال معلومات. ولذلك فإن أنشطتك في الفصول المتقدمة ستساعدك على بناء 
الحل في الفصول المتأخرة. والمنظمة التي سنتعرض لها في هذه الحالة هي جامعة حكومية 
تقليدية. وتشترك الجامعات الحديثة مثل جامعة ولاية الشمس ال مشرقة Sunshine State)‏ 
(University‏ في معظم خصائص المنظمات المتوسطة والكبيرة حيث تخدم هذه الجامعات 
ما يزيد على ٠٠٠٠١‏ مستخدم ويعمل فيها آلاف الموظفين ولديها ميزانيات تتجاوز مليار 
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الفصل الأول 


دولا ويجب أن تمتثل هذه الجامعات لتنظيمات وقوانين متعددة. ولتلبية احتياجات 
جميع هؤلاء الفئات يوجد في الجامعات جميع عمليات منظمات قطاع الأعمال ونظم تقنية 
المعلومات التي توجد في آي شركة تقليدية كا موارد البشرية» والرواتب» ids‏ والسفر 
بالإضافة إلى الخدمات التقليدية كالبريد الإلكتروني والتقويم. ويعمل العديد من ال مراكز 
البحثية بمثابة الأوصياء على البيانات الشخصية الحساسة الممرتبطة بالمشاريع البحثية مما 
يؤدي إلى خلق احتياج لأمن المعلومات بشكل مماثل لاحتياج أمن المعلومات في معظم 
الشركات الكبيرة. وف الواقع فإنه من غير المستغرب أن نجد انتشارا لتقنية ا لمعلومات 
الرائدة في الجامعات الحكومية. ومن وجهة نظر الطلاب وأعضاء هيئة التدريب فإن الميزة 
العظمى لاستخدام الجامعة في سياق تصميم الحالة المترائطة أنها مألوقة خدا لدى الجميع. 
وإذا لزم الأمر فإنه يمكن لأعضاء هيئة التدريس أن يغيروا في سياق الحالة ليتناسب مع 
الاحتياجات الخاصة بمنظماتهم. وفي معظم الحالات فإن الطلاب قد واجهوا بعض القضايا 
التي تمت مناقشتها في الحالة مما يسهل عملية التعلم بشكل كبير. 


المنظمة: 


جامعة ولاية الشمس المشرقة (Sunshine State University)‏ هي جامعة حكومية. 
ومثل العديد من الجامعات الحكومية db‏ (#70) من Jos‏ الجامعة من الضرائب المستحقة 
للدولةء و (XY)‏ تأت من الرسوم الدراسية للطلابء و b (4Y)‏ من المساعدات امالية 
للطلاب (الشكل .)١0-١‏ وال (Xy+)‏ المتبقية تأي من مجموعة متنوعة من المصادر Le‏ فيها 
المنح diad‏ ومساهمات الخريجين» وبرامج التعليم المدرة للدخل كالتعليم التنفيذي. 
وتحاول الجامعة المضي قدما نحو المزيد من التميز عن طريق الحد من اعتمادها على 
ضرائب الدولة والرسوم الدراسية لنحو (XY)‏ لكل منهما. وسيتم تعويض الفرق بزيادة 
إيرادات المصادر الأخرى من C)‏ إلى نسبة (XY)‏ من إجمالي الميزانية. ويصل عدد 
الطلاب الملتحقين بجامعة ولاية الشمس المشرقية إلى ٠٠٠٠١‏ طالب. ولتقديم الخدمات 
الأكادمية لهؤلاء الطلاب يعمل في الجامعة ۷٠١‏ عضو هيئة تدريس (ومن ثم OB‏ نسبة 
الطلاب إلى أعضاء هيئة التدريس تصل إلى (YA‏ وهناك أيضا قرابة ١6٠١‏ من موظفي 
الدعم الإداري يؤدون وظائف مثل الإرشاد الأكاديميء وا منح الدراسيةء وتقنية ا لمعلومات, 
واطالية» والمرتبات» ومديري المكاتبء وغيرها. 
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المقدمة 


الشكل :)٠١-١(‏ مصادر الدخل في جامعة ولاية الشمس المشرقة 
مصادر الدخل الحالية 






البحثية» مساعدات 


يجين» برامج التعليم 
المدرة للدخل 


%1۰ 
l‏ المساعدات المالية , 
9eY‏ | 
r.‏ 
مصادر الدخل المستهدفة 
المنح البحثيةء مساعدات 
الخريجين: برامج التعليم 
المدرة للدخل 
VA‏ 
A‏ 


ولتحسين التجربة التعليمية للطلاب بدأت جامعة ولاية الشمس المشرقة بزيادة تركيزها 
على الفرص البحثية لطلاب الدراسات العليا وطلاب الدراسات الجامعية. às‏ الوقت الحالي 
يقود هذا التوجه كلية الهندسة Ss‏ الطب» فلدى أعضاء هيئة التدريس ال معينين مؤخراً في 
هاتين الكليتين سجلات قوية لجذب تمويل البحوث من مصادر مثل مؤسسة العلوم الوطنية 
(National Science Foundation)‏ والمعاهد الصحية الوطنية National Institutes)‏ 
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الفصل الأول 


(of Health‏ وبينما تخلق هذه المشاريع فرصا كبيرة للطلاب لكسب منحة دراسية أثناء 
العمل على المشاريع البحثيةء فإنه قد تم إبلاغ مديري الجامعات من قبل زملائهم أن على 
الجامعة ترقية أنظمتها للتعامل مع البيانات التي تم إنشاؤها بواسطة هذه المشاريع حيث 
تم تحويل العديد من الجامعات إلى اممحاكم القضائية بسبب انتهاك خصوصية ال موضوعات 
البحثية وخصوصية الطلاب”"". 


الهيكل التنظيمي: 

يوضح الشكل )11-١(‏ ملخصاً للهيكل التنظيمي للجامعة. والمناقشة في هذا الكتاب 
سوف تكون مقصورة على وحدات الجامعة الموضحة في الهيكل التنظيمي. مدير الجامعة 
هو المسؤول عن جميع الشؤون الأكادهية في الحرم الجامعي. ومدير العمليات مسؤول 
عن جميع الأنشطة المالية والعملية في الحرم الجامعي. أما المستشار العام فيدير الشؤون 
القانونية ومسؤول عن مدى الامتثال للوائح والأنظمة. 


ويؤدي طلاب كلية الطب برنامج الأطباء امقيمين à‏ مستشفى محلي وسط امدينة. 
ويعمل في المستشفى نفسه الذي يُعد جزءاً من شركة كبيرة متعددة الأنشطة. موظفون 
س وقد بدأ مشروع بحثي كبير من قبل أعضاء هيئة 
التدريس بالكلية يتضمن 20٠٠‏ طفل حديث الولادة لدراسة التأثيرات الطبية للتفاعلات 
بين العوامل البيئية والتركيبات الجينية. وستقوم الدراسة متابعة هؤلاء الأطفال حتی تصل 
أعمارهم إلى ٠١‏ عاما. وتحتفظ الكلية بالخدمات التكنولوجية والتي تتألف أساسا من توفير 


خدمات البريد الإلكتروني وحفظ المستندات ال مشتركة. 


وتعرف كلية الفنون الجميلة باسم مدرسة الفن والتي خرّجت العديد من فناني الرسم 
المشهورين. وعلى الرغم من أن الجامعة ليست موطنا للاستوديوهات السينمائية الرئيسية 
إلا أن مجموعة من الخريجين حديثاً قد استفادوا من القدرات التصويرية للكاميرات الرقمية 
ذات العدسة الأحادية العاكسة (DSLR cameras)‏ لتحقيق النجاح كمخرجين في دائرة 
الأفلام السينمائية المستقلة (إيندي) . 
See http://blog.alertsec.com/2012/01/univ-of-hawaii-settles-data-breach-lawsuit/ for an example‏ )27( 
(YA)‏ تشير (إيندي) إلى دائرة الأفلام السينمائية المستقلة. وعادة ما يتم انتاج أفلام إيندي وتسويقها بميزانية صغيرة 
وبدون مساعدة من الاستوديوهات السينمائية الكبرى. وتمكن العديد من المخرجين السينمائيين المهمين من جذب 
الاهتمام أولاً à‏ الأفلام السينمائية المستقلة. 
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المقدمة 
الشكل :)١7-١(‏ ملخص للهيكل التنظيمي لجامعة ولاية الشمس المشرقة 


الرئيس 
لل سم 


x‏ نائب الرئيس المدير (نائب 
ud‏ لشؤون امال رئيس للشؤون 
t 199443‏ والأعمال الأكادمية) 


الخدمات عميد خدمات Y‏ عميد كلية إدارة عميد كلية عميد كلية عميد كلية 
w w - w 0 0 e» w ASA duas 0‏ 


a NY uy [ee‏ الأعمال الهنسة | | الفنون الجميلة الطب 


وبدأت كلية الهندسة في جذب انتباه المؤسسات التمويلية حيث بدأت تجذب بعضاً من 
التمويل الأولي من وزارة الدفاع الأمريكية لتطوير أجهزة الاستشعار والتطبيقات المرتبطة 
بها الخاصة بانتشار الجنود في ساحة المعركة. 

وبالإضافة إلى الأنشطة التعليمية والبحثية التقليدية قامت كلية إدارة الأعمال بدعم 
الشركات المحلية ذات الأقلية في المجتمع من خلال توفير حاضنة للأعمال التجارية والتي 
تستطيع من خلالها (الشركات الصغيرة الأقل حظا) الاستفادة من موارد تقنية المعلومات 
ومن توجيه أعضاء هيئة التدريس المحليين بكتابة مقترحات الأعمال» والتسويق والتوزيع 
وغيرها”". 

أما المكتبة فهي صغيرة لكنها نشطة جداً. وبالإضافة إلى خدمات المكتبة التقليدية تقدم 
المكتبة الدرجات الجامعية ودرجات الدارسات العليا في علوم المكتبات. وتبحث المكتبة 
بشكل نشط عن شراكات مع البائعين والناشرين من أجل التحول إلى النموذج الإلكتروني 
للكتاب الجامعي. كما تقوم بمجهود كبير لدمج المجموعات المكتبية الحكومية والمحلية, 
وتحسين نظم الإعارة بين المكتبات. 

وتقوم إدارة خدمات الطلاب بتلبية احتياجات الطلاب اللاصفية مثل القروض الطلابية, 
والإسكانء والقوانين الأخلاقية» والحكومة الطلابية» وغيرها من التنظيمات الطلابية الأخرى. 
(Y)‏ من ويكيبيديا: (الشركات الصغيرة الأقل حظاً) هي شركة صغيرة elle‏ ما لا يقل من 0١‏ منها شخص أو JS]‏ من 


المصنفين على أنهم محرومون اجتماعياً واقتصادياً. واندراج الشركة تحت هذا المسمى يجعلها مؤهلة Uk‏ العقود 
والمناقصات التابعة لبرامج المشتريات الفدرالية. 
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الفصل الأول 


وتتميز إدارة خدمات ال مال والأعمال إلى حد كبير بالمركزية. وتتولى إدارة الخدمات 
الإدارية ما يلي: المشتريات» والعيادة الصحية الجامعية» وخدمات الصيانة» وشرطة الجامعة. 
كما أنها تتعامل مع الرواتب» وإجراءات التوظيف» ومستحقات الموظفين. وتتعامل إدارة 
تقنية المعلومات مع كل جهود تقنية ا معلومات على مستوى المنظمة. متضمنا ذلك أنظمة 
إدارة JU. el‏ المنظمة (Enterprise Business Systems)‏ أما نظام معلومات الطالب» 
ونظام الموارد البشرية» ونظام الرواتب وامالية فكلها مشغلة بطريقة مركزية. 

ويتم تشغيل بعض خدمات تقنية ا معلومات الإضافية بال مزج بين الخدمات المركزية والدعم 
المحلي. وتشمل هذه الخدمات: إدارة ودعم سطح المكتب» إدارة مشاركة الملفات» إدارة 
الطباعة» وتوفير الحسابات» وإدارة أجهزة الخادم. ولتوفير التكاليف يقوم أعضاء هيئة التدريس 
غير الدائمين» والمسؤولين بشكل رئيسي عن تدريس المقررات الدراسية» بإدارة هذه الخدمات. 
وبصفة عام فإن الفريق الفني يعمل لساعات طويلة مقابل أجر مالي قليل لكنه مؤهل ومدرب 
بشكل جيد بحيث يبذل هذا الفريق قصارى جهده لتلبية توقعات الطلاب على الرغم من 
محدودية الميزانية. وتجدر الإشارة إلى أن أمن المعلومات جزء من إدارة تقنية ا معلومات. 
أسئلة على تصميم الحالة الأمنية: 

أجب عن الأسئلة التالية فيما يتعلق بجامعة ولاية الشمس المشرقة: 

.١‏ ما هي بعض الطرق التي من الممكن أن تسبب الارتباك أو الخسائر المالية للجامعة 
بسبب ثغرات أمن المعلومات؟ 

؟. اذكر ثلاثة من المعلومات المخزنة في نظم معلومات الجامعة والتي من المتوقع أن 
تحافظ الجامعة على خصوصيتها؟ ما هي بعض الطرق التي يمكن أن تؤدي إلى 
انتهاك خصوصية کل عنصر من هذه العناصر الثلاثة؟ 

.Y‏ اذكر ثلاثة من المعلومات المخزنة في نظم معلومات الجامعة والتي من امتوقع أن 
تحافظ الجامعة على تكاملها؟ ما هي بعض الطرق التي يمكن أن تؤثر سلبا في 
تكامل كل عنصر من هذه العناصر الثلاثة؟ 

.٤‏ اذكر ثلاثة من المعلومات المخزنة في نظم معلومات الجامعة والتي من المتوقع أن 
تحافظ الجامعة على جاهزيتها؟ ما هي بعض الطرق التي يمكن أن تؤثر سلبا في 
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الفصل الثاني 
إدارة النظام (الجزء الأول) 


نظرة عامة: 

كما ذكرنا في الفصل الأول أن الهدف من أمن ا معلومات هو حماية المعلومات وكذلك 
حماية نظم المعلومات من خلال ضمان خصوصية المعلومات وتكاملها وجاهزيتها. ولقد 
ناقشنا بعض الأمثلة لكيفية اختراق أمن المعلومات, كما ناقشنا النتائج المترتبة على مثل 
تلك الانتهاكات. ومن الواضح أن الشركات تسعى لحماية نفسها وحماية عملائها. لذا كيف 
يمكن أن نفعل ذلك؟ بقية هذا الكتاب مخصص للإجابة فقط عن هذا السؤال. هذا الفصل 
يطرح موضوع إدارة الأنظمة وهو أحد المكونات الأساسية لتعامل ال منظمات مع مخاوف 
أمن المعلومات. في نهاية هذا الفصل يجب أن تعرف: 

٠‏ ماهية إدارة النظام. 

٠‏ الأسباب التي تجعل من إدارة النظام موضوعاً مهماً لأمن المعلومات. 


٠‏ ال موارد العامة لإدارة النظام والتي هكن الحصول lade‏ من أنظمة برمجيات 
امؤسسة. 


مقدمة: 

تتكون الاستجابة الشاملة لأمن المعلومات في ا منظمة من العديد من المكونات ما في 
ذلك الإجراءات القياسية» وتدريب المستخدمينء والمساءلة الإدارية. وسنقوم بتناول هذه 
الموضوعات بالترتيب المناسب في هذا الكتاب. لكن خط الدفاع الأول هو الجهد المبذول من 
قبل مسؤولي النظم لحماية أنظمة المعلومات الهامة. مسؤول النظام هو الشخص ا مسؤول 
عن العمليات اليومية للأنظمة التقنية". 


(1) ATIS Telecom glossary: http://www.atis.orglglossary/default.aspx 
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الفصل الثاني 


ونظراً لأهمية أمن المعلومات للعمليات اليومية للأنظمة التقنية OB‏ مسؤول النظام 
يؤدي في كثير من الأحيان دور مسؤول أمن النظام Laf‏ مسؤول أمن النظام هو الشخص 
المسؤول عن وضع وتطبيق ومراجعة إجراءات الأمن التشغيلية. وتعد وظائف مسؤولي 
النظم من أهم الوظائف التقنية في ا منظمة. 

ويقدم هذا الفصل موضوع إدارة النظام ويشرح الأهمية الكبرى لهذا الموضوع لأمن 
ا معلومات. ثم يستعرض الفصل بعض الأمثلة للموارد القياسية لإدارة الأنظمة والمتوفرة 
في برمجيات المؤسسة والتي تعمل على أنظمة التشغيل الرئيسية. وأما نشاط التمرين 
العملي في هذا الفصل فيعطيك الفرصة لتحميل وتثبيت وضبط النسخة الخاصة بك من 
نظام التشغيل لينكس (Linux)‏ ونظام التشغيل هذا تم تخصيصه من قبل مؤلفي الكتاب 
لتقمل إصدارات الأدوات الساقرة لثمن اللعلوسات الاك leg.‏ لدى مسؤولي النظم. وتم 
اختبار تلك الإصدارات من قبل مؤلفي الكتاب. وسيتم استخدام هذه الأدوات المساعدة 
Lj‏ في الأنشطة العملية في الفصول اللاحقة. ويتضمن نظام التشغيل محاكاة مصغرة 
لجامعة ولاية الشمس المشرقة والتي ستكون مفيدة في الحالة المترابطة بجميع موضوعات 
فصول الكتاب والتي تكلمنا ie‏ سابقاً. 

اذا نستعرض موضوع إدارة النظام في بداية هذا الكتاب؟ وماذا نركز على أنشطة 
التدريب العملي المتعلقة بإدارة النظم؟ 

إدارة النظام الفعالة تتطلب قدراً كبيراً من الانضباط والمهارة الفنيةء وتطوير هذه 
ا مهارات يستغرق وقتاً طويلاً. ومن امُغري أن نقوم بترحيل موضوع إدارة الأنظمة إلى 
ملحقات الكتاب» أو أن نوجه الطلاب إلى مصادر على الإنترنت لتطوير هذه المهارات. لكننا 
نعتقد أن إدارة النظام مهارة أساسية يحتاجها متخصصو أمن المعلومات الطموحون. لذا 
فإننا نستعرض هذا الموضوع في بداية هذا الكتاب. وسوف نستخدم أنشطة التدريب 
العملي بعد كل فصل لمساعدتك في صقل مهارات إدارة النظام وال مهارات الفنية. ويعتقد 
كثير من الطلاب بأن أنشطة التدريب العملي هي العنصر الأكثر قيمة في هذا المقرر الدراسي. 
ويثمن العديد من مسؤولي الات هده eX M‏ اشا La sas‏ الامو د 
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إدارة النظام (الجزء الأول) 


ما هي إدارة النظام؟ 

إدارة النظام هي مجموعة من الوظائف التي توفر خدمات الدعم» وتضمن الثقة في 
العمليات» وتعزز الاستخدام الفعال للنظام» وتضمن تحقيق أهداف جودة الخدمة المحددة. 
وتشمل إدارة النظام: تثبيت وضبط وصيانة معدات الشبكات (الممحولات» والموجهات» 
وبروتوكول التكوين الديناميكي DHCP‏ وخوادم نظام تحديد العناوين الشبكية DNS‏ 
65 وغيرها) وأنظمة الحاسب JYI‏ (أنظمة قواعد البيانات» وأنظمة البريد الإلكتروني, 
وأنظمة تخطيط الموارد ERP systems‏ وغيرها). واعتماداً على حجم وتعقيد الأنظمة 
المعنية فإن الوقت اللازم لتوفير هذه الخدمات يتراوح بين جزء بسيط من الوقت الأسبوعي 
موظف واحد من تقنية ال معلومات إلى الوقت الكامل لفريق متخصص من ال مسؤولين 
والمبرمجين وموظفي الدعم. وإذا قمت في السابق بتثبيت برنامج جديد أو استبدال قطعة 
لا تعمل في جهازك فإنك قد قمت بوظيفة مسؤول النظام وإن كان ذلك على نطاق ضيق. 
وعلى الطرف الآخر توظف شركات مثل شركة جوجل الآلاف من مسؤولي النظم وغيرهم 
من الموظفين لدعم مئات الآلاف من أجهزة الحاسب JYI‏ وعندما تكون أنظمة العمل 
الهامة خارج الخدمة يعني ذلك خسارة في العوائد تُقدر بآلاف وأحياناً ملايين الدولارات 
في كل دقيقة من الزمنء لذلك فإن مسؤولي النظم ذوي امهارات العالية مرغوب فيهم في 
هذه الصناعة. 


اتجاهات ذات صلة - الحوسبة السحابية: 
واستجابة لتعقيدات إدارة النظام» ظهر في السنوات الأخيرة اتجاهان حديثين للتكنولوجيا. 
وكل من هذين الاتجاهين يندرج تحت فئة الحوسبة السحابية. والحوسبة السحابية 


era اليس‎ das cc Sil عر‎ SI ee lali slo من‎ laa gall e ta هي‎ 
وهي آلية‎ (Software as a Service) والاتجاه الأول هو البرمجيات كخدمة‎ P Jais 


لتسليم البرمجيات يتم فيها توفير التطبيقات وجميع الموارد ال مرتبطة بها إلى المنظمات عن 


(2) http://www.dalacenterknowledge.com/archives/2011/08/01/report- google-uses-about-900000-servers/ 


(3) http://en. wikipedia.org/wikilCloud, computing 
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الفصل الثاني 


طريق مورد البرمجيات كخدمة وتتم من خلال متصفح الإنترنت. ويقوم مورد (البرمجيات 
كخدمة) بتوفير جميع مكونات الأجهزة والبرمجيات ويأخذ على عاتقه مسؤولية جميع 
جوانب إدارة النظام. وسعر هذه الخدمة يكون على شكل اشتراك مع تكلفة مدفوعة لكل 
peas‏ على أساس شهري أو سنوي. ويتم توفير بعض تطبيقات (البرمجيات كخدمة) 
Lsls‏ ويتم الحصول على العائد المادي من الإعلانات التجارية. وإذا استخدمت Li‏ من 
التطبيقات على شبكة الإنترنت كمحرر مستندات جوجل (Google Docs)‏ أو استخدمت 
خدمة حفظ الملفات على الإنترنت مثل دروب بوكس (DropBox)‏ فإنك قد استخدمت 
تطبيقات (البرمجيات كخدمة). 

الاتجاه الثاني هو البنية التحتية كخدمة .(Infrastructure as a Service)‏ و(البنية 
التحتية كخدمة) هي نموذج أعمال تقوم المنظمات من خلاله باستخدام معدات ومكونات 
الأجهزة كا معالجات والتخزين وأجهزة التوجيه من مُورد (البنية EERTE]‏ اوت 
(البنية التحتية كخدمة) من أشكال الحوسبة السحابية اشا وخلافاً مورد البرمجيات 
clades‏ فان مور (التنية العحعية كقدمة)يوفر cosa‏ الأجهرة aos‏ فقط سيكؤولية 
تكن الأعهزة ر لهات وت أن ف جنيع Aaa colle‏ الل ودر اشفا 
من خلال مسؤولي الأنظمة في المنظمة. ويكون السعر على أساس الاشتراك وعلى أساس 
الاستخدام Ses)‏ الحفظ لكل قيقا بايت. وعدد دورات وحدة المعالجة المركزية لكل مليون 
دورة). ومن الشركات ال معروفة ف تقديم (البنية التحتية كخدمة) شركة أمازون“ وشركة 


(0) 


راك £O aas‏ 
بدأ مسؤولو النظم في السنوات الأخيرة بنشر تقنية تسمى الآلات الافتراضية virtual)‏ 
(machines‏ بهدف زيادة كفاءة استخدام قطع أجهزة الحاسب الآلي. والآلة الافتراضية هي 
وعاء للبرمجيات يمكن أن يثبّت فيه أي نظام للتشغيل go‏ نوع من التطبيقات. وتعمل 
الكلات الاقتراضية ماما مل نظائرها امادية لكن.دون إمكانية Là‏ مكونات أجهزة الحاسن 
الآلي. ويمكن تشغيل وإيقاف الآلات الافتراضية عند الطلب. مثلاً هكن تشغيل آلة افتراضية 
جديدة لتقوم بوظيفة خوادم الشبكة (Web Servers)‏ وذلك في أوقات ذروة العمل (مثل 
http://aws.amazon.com/‏ )4( 


(5) https://www.rackspace.com/cloud 
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إدارة النظام (الجزء الأول) 


موسم الإجازات لتاجر ما على الإنترنت). وبمجرد انتهاء موسم الإجازة ورجوع معدل العمل 
مستواه الطبيعي» يمكن إزالة تلك الخوادم الافتراضية الإضافية. ومثالا على فائدة الآلات 
الافتراضية ستقوم في نشاط التدريب العملي في نهاية هذا الفصل بإنشاء آلتك الافتراضية, 
كما ستقوم باستخدامها في معظم الأنشطة العملية المتبقية في هذا الكتاب. وعندما تتعاقد 
ا منظمة مع مورد (بنية تحتية كخدمة) فإن المنظمة تشتري إذن استخدام الآلة الافتراضية. 

وتستطيع المنظمات أن تدفع فقط لعدد محدود من الخوادم التي تحتاج إليها في الوقت 
الذي تحتاج إليها فيه. وذلك عند الجمع بين البنية التحتية كخدمة والآلات الافتراضية» بدلا 
من شراء وصيانة خوادم فعلية تكفي للتعامل مع ذروة العمل. 


إدارة النظام وأمن المعلومات: 

قد تتساءل بينك وبين نفسك عن العلاقة بين إدارة النظام وأمن المعلومات. في الواقع 
إن إدارة النظام هي خط الدفاع الأول عن الأبعاد الثلاثة لأمن المعلومات: الخصوصية, 
والتكامل» والجاهزية. تأمل في جاهزية ال معلومات. إذا كانت معلومات هامةء كدرجاتك 
الدراسية: غير متوفرة بسبب فشل الخادم الذي تم تخزين الدرجات فيه وم يكن هناك 
وسيلة لاستردادهاء فإنك تتأثر بشكل مباشر بفشل مسؤول النظام. إن توقع Jis‏ هذه 
المشكلات تقع على عاتق مسؤول النظام» كما أنه مسؤول عن استخدام الأساليب المناسبة 
ممنع فشل الأجهزة من التأثير في المستخدمين النهائيين. ويقضي مسؤولو الأنظمة معظم 
وقتهم في التخطيط لإصلاح واسترداد أعطال الأجهزة. وكمثال آخر تأمل في الخصوصية. ماذا 
لو أن معلومات هامة. ككشف الدرجات الخاص بكء سرقت من أنظمة الجامعة ووضعت 
على صفحات الإنترنت ليراها كل شخص؟ هذا سيكون أيضاً فشلاً لإدارة الأنظمة. إن توقع 
مثل هذه المشكلات تقع على عاتق مسؤول النظام» كما أنه مسؤول عن استخدام أذونات 
ا ملف المناسبة لضمان أن الأشخاص غير المصرح لهم لا يمكنهم من قراءة أو نسخ كشف 
الدرجات. 

وكما ترى فإن كل شيء يفعله مسؤولو الأنظمة يكون ذا علاقة بأمن المعلومات. ومعظم 
الجوانب الفنية لأمن المعلومات يمكن معالجتها من JE‏ مسؤولي الأنظمة. ويوضح القسم 
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الفصل الثاني 


التالي بعض المهام الشائعة التي يقوم بها مسؤولو الأنظمة. كما يوضح القسم الذي يليه 
بعض الأدوات الشائعة التي توفرها أنظمة برمجيات المؤسسة لمساعدة مسؤولي الأنظمة 
في تنفيذ هذه امهام. 


المهام الشائعة لمسؤولي النظام": 

كل مرحلة من مراحل استخدام التقنية تتضمن مهام لإدارة الأنظمة. وتشمل هذه المهام 
تشيت وضبط الأنظمة حتى يمكن استخدامهاء والتحكم في الوصول وإدارة المستخدمين 
بحيث يتمكن المستخدم من العثور على ما يحتاج إليه دون التسبب سهوا بإحداث ضرر 
للنظام» والرقابة المستمرة على النظام لضمان أن كافة المكونات تعمل كما هو «gioia‏ 
وتطبيق التحديثات وبالأخص عندما تكشف المراقبة عن مشكلات ذات صلة slab‏ والأمن. 


التثبيت والضبط: 

التثبيت هو كتابة البيانات اللازمة في اممكان مناسب على القرص الصلب لجهاز الحاسب 
الآلي بهدف تشغيل البرنامج. المهمة الأولى لإعداد جهاز حاسب آلي جديد هي تثبيت نظام 
التشغيل. وإذا قمت في السابق بتثبيت نسخة من نظام تشغيل مايكروسوفت ويندوز 
(Windows)‏ أو توزيع نظام لينكس (Linux)‏ فإن عملية التثبيت مألوفة بالنسبة لك 
وهي تبدأ بتشغيل جهاز الحاسب الآلي مع قرص التثبيت» ثم تجيب عن بعض أسئلة 
الضبطء وتختار القرص الصلب الذي سيتم تثبيت نظام التشغيل فيه وتختار البرمجيات 
وهي ستثبتها ومن ثم تنتظر حتى يتم نقل الملفات. وخطوات تثبيت متشابهة جدا بغض 
النظر عن نظام التشغيل الذي تقوم بتثبيته. وبينما يكون تثبيت وضبط البرمجيات لجهاز 
واحد عملية واضحة تماماء يكمن التحدي الأكبر لمسؤولي الأنظمة في تبسيط إجراء هذه 
العملية لمئات أو آلاف من أجهزة الحاسب الآلي في المنظمة. وفي القسم التالي سنقدم لمحة 
عامة عن بعض الأدوات الشائعة الاستخدام للقيام بهذه المهام. 

الضبط هو اختيار مجموعة مواصفات النظام من بين ا مجموعات الممكنة. وللضبط 
oes scies lel SEE‏ ويس edu Bea ball‏ تيمت 


jolas (1)‏ قصاصة البريد المزعج: 
I. Morozov. E. «Ihe common enemy,» WSJ Book Review. May 9, 2013.‏ 
Brunton. E. «Sparn: a shadow history of the Internet (infrastructures)» MIT Press. ISBN 026201 887X.‏ .2 
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إدارة النظام (الجزء الأول) 


التفاعل بين المكونات المختلفة. وعدم قدرة مسؤولي الأنظمة على فهم الآثار المترتبة على 
هذا التفاعل. كما لا يتم الحفاظ على العديد من مكونات البرمجيات المرغوب فيها مما 
يؤدي إلى مخاطر في أمن المعلومات. ولهذه الأسباب فإن القاعدة العامة بين خبراء إدارة 
الأنظمة فيما يتعلق بالضبط تنص على «عندما تشك لا تقم بالتثبيت». في حين أن القاعدة 
العامة بين المستهلكين تنص على «عندما تشك قم بالتثبيت أو التحديث». 


نسب لشخص يُدعى بيتر بوس» وهو مهندس في معهد ماساتشوستس للتقنية» أنه Joj‏ من 
استخدم امتيازاته كمسؤول للنظام لإرسال JJ Jal‏ إلكترونية مزعجة à (spam message)‏ 
العالم في عام .191/١‏ وقام بتوجيه الرسالة إلى نحو ألف شخص من زملائه المهندسين متضمنا ذلك 
وزارة الدفاع الأمريكية. 


كان الهدف من Js]‏ رسالة إلكترونية مزعجة في العام هو: 


0 بيع أجهزة حاسب آلى مستخدمة 


ب. معارضة حرب فيتنام 
ج. البحث عن وظيفة 


(الإجابة في الصفحة التالية) 





التحكم في الوصول وإدارة المستخدمين: 

التحكم في الوصول هو تقييد الوصول إلى موارد نظم المعلومات للمصرح لهم فقط من 
الممستخدمين والبرامج والعمليات والنظم. ويحدد التحكم في الوصول ما يمكن للمستخدمين 
القيام به على النظام. وعادة يشير التحكم في الوصول إلى الملفات والأدلة التي يمكن للمستخدم 
أن يقرأها أو يعدلها أو يحذفهاء لكن في بعض أنظمة التشغيل فإن الوصول إلى منافذ الشبكة 
وغيرها من مستويات نظام التشغيل الهيكلية يمكن تحديده أيضاً. ويمكن تطبيق التحكم 
في الوصول على مستوى التطبيق حيث يمكن تحديد الصفوف و/أو الأعمدة التي يمكن 
للمستخدم رؤيتها في قاعدة البيانات أو تحديد الشاشات المتوفرة في تطبيقات الأعمال. 


أمن المعلومات وإدارة مخاطر تقنية المعلومات vý‏ 


الفصل الثاني 


وتعد إدارة المستخدم من ال مكونات الأساسية للتحكم في الوصول. ويُقصد بإدارة 
المستخدم تحديد حقوق أعضاء المنظمة فيما يتعلق با معلومات الموجودة في المنظمة. 
وعلى الأرجح أن إنشاء حسابات المستخدمين وإلغاءها هو أول ما يفكر به الناس عند 
سماعهم لمصطلح «إدارة المستخدم». ومن الشائع عند إدارة أعداد كبيرة من ال مستخدمين 
أن يتم تنظيمهم في مجموعات بامتيازات متماثلة. على سبيل المثال فإن جميع أعضاء 
ead (cuida dius‏ علو العافت الال يكن rogis‏ امحموعة يطاو Aes eue‏ 
.(Compsci-Faculty)‏ ومكن أن تمنح هذه المجموعة الوصول إلى موارد معينة على 
ا موقع الإلكتروني للقسم أو تكون كقائمة بريد تستخدم لمناقشات البريد الإلكتروني. 

العلاقة بين كل من التحكم في الوصولء وإدارة المستخدم» وبُعدَي أمن المعلومات 
(الخصوصية والتكامل) علاقة واضحة ومباشرة حيث يقوم مسؤول النظام بتأسيس التحكم 
في الوصول لمجموعة من المعلومات لضمان أن السماح يتم فقط للمستخدمين المصرح لهم 
لرؤية (خصوصية) أو تعديل (تكامل) معلوماتهم. ويمكن أن تكون هذه العملية بسيطة 
لكن حجم المنظمة» وكمية البيانات» ومدى التعقيد وفرص حدوث الأخطاء تزداد بشكل 
كبير. وسنتطرق إلى هذه القضايا بعمق أكبر في الفصل السابع. 


الرقابة والفحص: 
وبمجرد تثبيت وضبط وتشغيل النظام فإنه يحتاج إلى مراقبة مستمرة لضمان الأداء 
والأمن المنشود. والرقابة هي الاستماع و/أو تسجيل لأنشطة النظام بهدف الحفاظ على الأداء 
والأمن. وتصنف مهام إدارة النظام في هذه الفئة إلى نوعين: مراقبة تفاعلية (reactive)‏ 
ومراقبة استباقية .(proactive)‏ امراقبة التفاعلية هي كشف وتحليل حالات الفشل بعد 
حدوثها. مثلا هكن للمسؤولين استخدام أدوات مراقبة آلية ك (Nagios)‏ للحصول على 
فكرة عامة ل «صحة» شبكاتهم الإلكترونية من خلال الحصول على رسائل فورية با مشكلات 
التي تحدث. وبامثل فإن أدوات إدارة السجل (log management tools)‏ تقوم بجمع 
وتحليل سجلات النظام من كافة الخوادم عبر الشبكة وتربط بين الأحداث والخوادم. 
وتساعد أدوات الرقابة تلك مسؤولي النظم في الكشف عن الأنماط أو الأحداث غير العادية 
https://www.nagios.org/‏ )7( 
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والتي تشير إلى حدوث انتهاك أمني. وفي حال حدوث انتهاك أمني يتم تحديد عدد الأنظمة 
المحتمل تأثرها بهذا الانتهاك. 

أما المراقبة الاستباقية فهي فحص النظام لمشكلات محددة قبل حدوثها. ومن الممارسات 
الشائعة في هذا السياق استخدام ماسحات مواطن الضعف (vulnerability scanners)‏ 
للوصول إلى النظام والبحث عن الثغرات المحتملة. ثم يتم ترتيب الثغرات حسب أولويتها 
ومن ثم معالجتها Flo‏ على ذلك. كما أن اختبار الاختراق» والذي ينفذ عادة من قبل شركة 
أمنية متخصصة. يأخذ خطوة متقدمة إلى الأمام حيث يتم فيه Lag‏ استغلال الثغرات 
وتقييم ال مستوى الذي يمكن تحقيقه من الوصول إلى النظام. 


تحديث البرمجيات: 


يؤدي الاستخدام والمراقبة المستمرة للبرمجيات عادة إما إلى كشف جوانب الضعف وإما 
إلى كشف متطلبات جديدة. وتستخدم تحديثات البرامج لإصلاح هذه ال مشكلات. وتحديث 
البرمجيات هو استبدال المكونات ال معيبة للبرامج مكونات أخرى خالية من تلك العيوب التي 
تم تحديدها. ويمكن تقسيم تحديث البرامج إلى فئتين: تحديث نظام التشغيل وتحديث 
التطبيقات. تحديث نظام التشغيل هو التحديث الذي يُصلح مشكلات المكونات المنخفضة 
ا مستوى لبرمجيات النظام» ويتم تطويرها وإصدارها مباشرة من مورد النظام. وجميع 
نظم التشغيل الحديثة تشمل برامج تقوم بالفحص والتثبيت الآلي للتحديثات المطلوبة 
دون تدخل من مسؤول النظام. أما تحديث التطبيقات فيقوم بإصلاح التطبيقات الفردية. 
ويتضمن تحديث التطبيقات الكثير من العمل من جانب مسؤول النظام» وذلك oS‏ أغلب 
التطبيقات تكون مزودة بإضافات ihe‏ فق وكين اف وا ان تكوق الإقنافاذة 
مطورة داخلياً في المنظمة. Pe‏ ثيق العديد من هذه التخصيصات أو فحصها بشكل 
جيد. وليس من السهل التنبؤ بتأثير تحديث التطبيقات على تلك التخصيصات. لذا فإن 
التحديث اليدوي غالباً يكون 655 aues‏ ف قط Dil‏ د عد لاف عن RE‏ 
النظم do‏ التحديات الكبرى في المنظمات بسبب السلوك غير المتوقع للتطبيقات المثبتة à‏ 
E‏ ولهذا السبب فإن مسؤولي النظام يقومون عادة بتثبيت التحديث على 
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خادم التطوير (development server)‏ ومن ثم اختبار جميع التطبيقات في نظام التطوير 
قبل نشر التحديث على نظام الإنتاج. 


Xd‏ بوس 


الإجابة: (ب) 


وكان نص الرسالة «لا توجد وسيلة للسلام. السلام هو الوسيلة». 





الفيسبوك» واستكشاف البريد الإلكترونيء وإدارة النظامء والقانون: 

بدأ مارك زوكربيرج في تأسيس الموقع الإلكتروني لفيسبوك في الرابع من فبراير من عام 
٤‏ عندما كان طالباً في جامعة هارفارد. ومع مرور الوقت أخذ هذا الموقع في النمو 
ليُصبح الشركة المشهورة (فيسبوك). وعندما كان مارك Ulo‏ في هارفارد وقبل نحو تسعة 
أشهر من إطلاق فيسبوك وقع مارك عقداً مع متعهد من ريف نيويورك يدعى باول 
(Uo‏ وذلك لإنشاء موقع يدعى .(StreetFax)‏ وفي عام ۲۰٠۰‏ قدم Job‏ سيجليا دعوى 
قضائية في مدينة بافالو في نيويورك يدعي فيها أن العقد كان لتأسيس فيسبوك bs‏ يكن ل 
.(StreetFax)‏ ووفقاً للعقد يحق لباول الحصول على (00*) من شركة فيسبوك. وتشير 
التقديرات إلى أن هذه الحصة يمكن أن تصل قيمتها إلى 0٠‏ بليون دولار وذلك في وقت 
الدعوى القضائية. وأحضر باول نسخة من عقده مع مارك دعما لادعاءاته. 

حسناً ما علاقة ذلك بأمن ا معلومات بشكل عام وبإدارة الأنظمة على وجه الخصوص؟ 
قبل أن تقرأ أكثر فكر للحظة في الأمور التي يمكن أن تفعلها فيسبوك لإثبات عدم صحة 
اذعاءات Jab‏ :(الشكل (QV-Y-‏ 

أعدت فيسبوك في حركتها لرد الدعوى نتائج للبحث في خادم البريد الإلكتروني في جامعة 
هارفارد. ونصت حركة فيسبوك للرد على الدعوى على ما يلي: «...استعرضنا جميع رسائل 
البريد الإلكتروني الخاصة بزوكربيرج الموجودة في حساب بريده الإلكتروني والذي كان 
يستخدمه عندما كان طالباً في جامعة هارفارد. وتضمن هذا الحساب رسائل إلكترونية من 
الفترة 7٠١‏ إلى €« Y‏ واتضح أن رسائل البريد الإلكتروني التي اقتبسها Job‏ سيجليا في 
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شكواه المعدلة لا وجود لها في الحساب» وهي محض افتراءات.... وقمنا بالبحث في جميع 
رسائل البريد الإلكتروني الموجودة في الحساب باستخدام colle‏ بحث تحتوي على كلمات 
من رسائل البريد الإلكتروني المزعومة والمقتبسة في شكوى باول سيجليا المحرفة... ولا وجود 
لرسائل البريد الإلكتروني المزعومة في حساب البريد الإلكتروني لزوكربيرج. ولا وجود حتى 
لرسالة إلكترونية واحدة على خادم البريد الإلكتروني لهارفارد. ويُوجد في حساب هارفارد 
العديد من رسائل البريد الإلكترونية بين زوكربيرج وسيجليا وموظفي شركة (StreetFax)‏ 
والتي تحتوي على فشل سيجليا في دفع المبالغ المستحقة لزوكربيرج مقابل عمله في شركة 
.(StreetFax)‏ كما تحتوي على أعذار سيجليا المتكررة وطلبه السماح من زوكربيرج ووعود 
سيجليا بصرف المبلغ المستحق لزوكربيرج. وتوضح الرسائل الإلكترونية الحقيقية في حساب 
زوكربيرج أنه لم يناقش مطلقا موضوع الفيسبوك أو أي موقع للتواصل الاجتماعي مع 
سيجليا أو زملائه. وقصة سيجليا أن هناك شراكة مزعومة مع زوكربيرج لإطلاق الفيسبوك 
هي محض خيال. 

تفاصيل ال موضوع موجودة في مقال في (Wired Magazine) ále‏ وهو مقال يستحق 
القراءة للمهتمين بهذا ا موضوع. 


الشكل :(Y-Y)‏ باول سيجليا 


جع 5153 3 5 
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l.Paul D. Ceglia vs. Mark Elliott Zuckerberg, "Memorandum of law in support of 
defendants motion to dismiss? March 26, 2012. 
2. Raice, S. “A Facebook founder fight,” Wall Street Journal, March 27, 2012, B7. 


3. Kravets, D. "How forensics claims Facebook ownership contract is forged’, Wired 
Magazine, March 27, 2012, http://www.wired.comlthreatlevel/2012103/facebook- 
ownership-forensics/ (accessed 07/23/2013). 


نقاط العطل المفردة: 


ما هو أقدم بريد إلكتروني في كل حسابات البريد الإلكتروني التي تمتلكها؟ 





ما هو موضوع ذلك البريد الإلكتروني؟ 


فيما سبق وضحنا الأنشطة القياسية لإدارة الأنظمة المتعلقة بالبرمجيات التي لها أثر في 
أمن المعلومات. بالإضافة إلى ذلك هناك نشاط هام لإدارة الأنظمة له صلة بالأجهزة التي 
لها تأثير على أمن المعلومات. بالتحديد له علاقة بنقطة العطل المفردة وهي جزء من النظام 
إذا تعطل يؤدي إلى توقف النظام بأكمله". وتؤثر نقاط العطل المفردة في الجاهزية. على 
سبيل JULI‏ أحد نقاط العطل المفردة والشائعة في أجهزة الحاسب الآلي المكتبية هو التيار 
الكهربائي الذي إذا انقطع فإن أجهزة الحاسب الآلي لا تتمكن من العمل حتى يتم تثبيت 
بديل للتيار الكهربائي. والحل القياسي للتعامل مع مشكلات نقاط العطل المفردة هو توفير 
قطع احتياطية .(Redundancy)‏ وتوفير القطع الاحتياطية يعني توفير إمكانيات إضافية 
يتم المحافظة عليها لتحسين موثوقية النظام. على سبيل المثال o Sce‏ الاحتفاظ بمصدر 
طاقة احتياطي جاهز للتثبيت في حال احتياجه» وذلك لتقليل وقت التوقف عن العمل. 
وتعرف هذه الأجزاء الاحتياطية بالقطع الاحتياطية LII‏ وتكون مفيدة لتقليل وقت 
التوقف عن العمل. لكن ومع ذلك سيكون هناك بعض الوقت الذي يكون فيه النظام غير 
متوفراً. ومعظم خوادم الحاسب الآلي الكبيرة تستخدم القطع الاحتياطية الساخنة وهي 


(8) https://en.wikipedia.org/wiki/Single point of failure 
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ا مكونات الاحتياطية التي تستقر داخل الخادم وتحل محل الأجزاء المتعطلة دون حدوث 
أي تعظطل ف العمل. وتسمح المكونات الاحنياطية كذلك Jagah‏ الأنظمة التعامل مع 
الأعطال الخارجية. على سبيل «JULI‏ تسمح البطارية الاحتياطية لمسؤولي الأنظمة التعامل 
مع مشكلات انقطاع التيار الكهربائي (الشكل (Y-Y‏ 


الشكل :(Y-Y)‏ استخدام أجهزة الحاسب JI‏ المكتبية لأنظمة ويندوز-أبريل Y ^W‏ 








ll windows XP Windows Vista 
ll Windows 7 ll windows 8 


أدوات إدارة النظام: 

ونظراً للدور الهام لإدارة النظام في المنظمة؛ وكذلك للأهمية العالية لوقت مسؤول 
النظام» تطور مع مرور الوقت العديد من أدوات إدارة النظام المتخصصة في برمجيات 
وأجهزة المنظمة. ونقدم في هذا القسم dm‏ عامة عن الأدوات الشائعة في إدارة النظام 
ا لملستخدمة لنظم التشغيل السائدة: نظام تشغيل ويندوز ونظام تشغيل لينكس /ينكس. 
وتتوفر أيضا أدوات مماثلة لإدارة النظام في المنظمات كقواعد البيانات والموجهات والأجهزة. 
وف البداية سنلقي نظرة على الملامح العامة لهذين النوعين من نظم التشغيل ومن ثم 
سنلقي نظرة على بعض أدوات إدارة النظام الشائعة لهذين النظامين. 
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مايكروسوفت ويندوز: 
في شهر أبريل من عام ۲١٠١‏ بلغت الحصة السوقية لمايكروسوفت ويندوز (XAY)‏ من 
سوق أجهزة الحاسب الآلي المكتبية". مما يعني أنك إذا كنت تستخدم جهاز حاسب dl‏ 
فإنه على الأرجح يعمل بنظام تشغيل مايكروس وفت ويندوز. ومنذ منتصف التسعينيات 
وعندما تم إصدار نظام التشغيل ويندوز 95(10 (Windows‏ وويندوز إن Windows) dJ‏ 
P (NT‏ أطلقت مايكروس وفت نوعين من إصدارات :(Windows)‏ الأول ويندوز لأجهزة 
سطح المكتبء والثاني ويندوز لأجهزة الخوادم. ويشمل إصدار ويندوز لأجهزة سطح المكتب 
أرقام الإصدار المألوفة وهي: ويندوز 0 ويندوز SA‏ ويندوز el‏ إي» ويندوز إكس 3« ويندوز 
فيستاء ويندوز V‏ ويندوز (Windows 95, 98, ME, XP, Vista, 7, 8) A‏ كما يشمل الدعم 
ممجموعة واسعة من أجهزة الحاسب الآلي والأجهزة الطرفية المستخدمة في أجهزة الكمبيوتر 
المنزلية. وعلى الأرجح أنك استخدمت واحداً أو ASÍ‏ من هذه الإصدارات. وبعكس ذلك فإن 
إصدار ويندوز لأجهزة الخوادم )2012 (NT, 2000, 2003, 2008, 2008 R2,‏ يدعم مجموعة 
أصغر بكثير من الأجهزة والطرفيات ويركز على الأجهزة المكتبية لقطاع الأعمال وسوق 
أجهزة الخوادم. لكن الفارق الأهم في ذلك أن إصدار ويندوز لأجهزة الخوادم يضم عدداً 
من الخدمات للتحكم في الوصول وإدارة المستخدم وهذه الخدمات غير متوفرة لإصدار 
ويندوز لأجهزة سطح المكتب. وأهم هذه الخدمات هي خدمات مجال الدليل النشط 
(Active Directory Domain Services)‏ 
الدليل النشط (Active Directory)‏ هو مجموعة من التقنيات التي توفر المركزية 
لإدارة المستخدم وللتحكم في الوصول لكافة الأجهزة الأعضاء في المجال نفسه. فعند تحديد 
عضوية امجال يمكن تطبيق سياسة ال مجموعة (Group Policies)‏ لمستخدمي المجال 
ولأجهزة الحاسب الآلي بهدف التحكم في وصول المستخدم يزات معينة في أجهزة محددة 
في المنظمة. وتصف مايكروسوفت سياسية المجموعة (group policy)‏ بأنها البنية التحتية 
التي تسمح بتنفيذ ترتيبات محددة للمستخدمين والأجهزة9". وغالباً ما تُستخدم سياسة 
https://www.netmarketshare.com/‏ )9( 


(10) http://windows.microsoft.com/en-us/windows/history 


(11) https://technet.microsoft.com/en-us/library/cc779838(v-ws.10).aspx 


۸۰ أمن المعلومات وإدارة مخاطر تقنية المعلومات 





إدارة النظام (الجزء الأول) 


المجموعة لتقييد بعض الإجراءات التي قد تشكل مخاطر أمنية مُحتملة مثل تعطيل تحميل 
الملفات القابلة للتنفيذ أو منع الوصول إلى برامج معينة. والخادم الذي يطبق قواعد الدليل 
النشط ضمن مجال محدد يُطلق عليه مراقب المجال .(Domain Controller)‏ ويحافظ 
مراقب المجال على معلومات حسابات المستخدمين» ويوثق اللمستخدمين في المجال بناءً 
على هذه المعلومات» ويأذن لهم بالدخول إلى موارد المجال استناداً إلى سياسة المجموعة. 
ويحتاج كل مجال إلى مراقب واحد على الأقل لكن يمكن إضافة أكثر من مراقب للمجال 
كبديل احتياطي (Redundancy)‏ 


أداة إدارة النظام- مركز النظام: 

تحت مسمى مركز النظام توفر ميكروسوفت العديد من الأدوات لتثبيت وضبط نظام 
التشغيل ويندوز (Windows)‏ بشكل PP ssl‏ ويسمح مدير ضبط مركز النظام System)‏ 
(Center Configuration Manager‏ مسؤولي النظام بإدارة عملية تثبيت eu»‏ التشغيل 
ويندوز على مئات الخوادم والأجهزة ا مكتبية من وحدة واحدة متضمنا ذلك تشيت 
الخدمات والبرمجيات. وبالإضافة إلى تشبيت نظام التشغيل تقوم zo‏ تكوين مركز النظام 
بأتمتة عملية التحديث لكل من M‏ ا وحزم Anal PN‏ وتعطي d‏ 
T‏ بشكل قابل للتكرار وقابل لجعل هذا التكرار Ui‏ ودقيقاً als‏ بكل سهولة. 

كما يشمل مركز النظام (asl‏ نظام مراقبة يدعى مدير عمليات مركز النظام 
(System Center Operations Manager)‏ الشكل (Y-Y)‏ والذي يقوم بتحذير مسؤول 
النظام في حال تعطل الأجهزة أو حدوث أي مشكلات تؤثر في جاهزية البيانات. 


(12) https://www.microsoft.com/en-us/server-cloud/system-center/ 
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الشكل (۳-۲): مدير عمليات مركز النظام 
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أداة نظام التشغيل - Windows SysInternals‏ 


وللاستخدام الشخصي قد ترغب في استخدام مجموعة من الأدوات التي تقدمها مايكروسوفت 
وتدعی (System Internals)‏ والتي تعرف في مصطلحات الحاسب JYI‏ ب Syslnternals)‏ 


(9) à 


وهي متوفرة في الموقع الإلكتروني لميكروسوفت”"". وتم تصميم هذه الأدوات لأول مرة في عام 
7 بواسطة مارك روسنفش الذي أشن شركة (Winternals Software)‏ والتي استحوذت 
عليها مايكروس وفت لاحقاً. وتعطي (Sysinternals)‏ رؤية ممتازة للأنشطة المستمرة في جهاز 
الحاسب الآلي كتغيير الملفات والسجلات. وفي هذا الكتاب تم استخدام (SysInternals)‏ لأخذ 
العديد من صور الشاشة (screenshots)‏ 





https://technet.microsoft.com/en-us/ عند وقت كتابة هذه الجزئية في إبريل من عام ۲۰۱۲ كان الرابط هو:‎ (VY) 
aspx.sysinternals/bbot£o Y Y 


^Y‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 

















إدارة النظام (الجزء الأول) 


ينكس الينكس: 


تم تطوير نظام التشغيل ينكس (Unix)‏ لأول مرة تحت اسم (UNICS)‏ في عام ١959‏ 
من قبل مجموعة تابعة لمختبرات شركة آي في آند 3( (AT&T's Bell Labs)‏ وذلك بقيادة 


كين طومسون ودنيس ريتشي. 


حقائق متنوعة 
إن تطوير نظام التشغيل ينكس OSE‏ أن يُنسب للعبة فيديو قدهة يُطلق عليها سبيس ترافل 


(Multics) حيث أن طومسون طور هذه اللعبة لنظام تشغيل يدعى ملتيكس‎ (Space Travel) 
يعد لدى مجموعة طومسون حق الدخول على هذا النظام ولا على الأجهزة. وأثناء عملية‎ b لكن‎ 
تطوير اللعبة على جهاز جديد تم تطوير أساس نظام التشغيل المعروف ب (ينكس)9".‎ 





في عام 1910 رخصت شركة آي في آند ني (AT&T)‏ نظام التشغيل ينكس لبعض 
المؤسسات التعليمية والبحثية. ولأنه تم توفير الشفرة البرمجية الأصلية مع نظام التشغيل 
«ui Sa‏ قامت تلك المؤسسات بتعديل ينكس ليتلاءم مع احتياجاتهم. وفي عام ۱۹۷۸ 
قامت جامعة كاليفورنيا في بيركلي بإصدار نسخة مطورة من نظام التشغيل ينكس تدعى 
توزيعة برمجيات بيركلي (Berkley Software Distribution Unix)‏ وهذه النسخة 
تحتوي على العديد من التحسينات التي لا تزال موجودة في أنظمة ينكس الحديثة”" . 
وتم إطلاق العشرات من الإصدارات المتنوعة بتحسينات خاصة لنظام ينكس اعتماداً على 
توزيعة برمجيات بيركلي أو على البرمجة الأصلية من آي تي آند تي. وفي عام VAM‏ قامت آي 
تي آند تي بإصدار النسخة النهائية لنظام ينكس والتي تدعى النظام الخامس System V)‏ 
لكن إصدارات ينكس بناء على الشفرة البرمجية الخاصة بهم (والتي يشار إليها ب SysV-‏ 
(based Unix‏ ما تزال قيد التطوير إلى وقتنا الحالي"". ويوضح الشكل (£-Y)‏ شجرة عائلة 
الإصدارات الأكثر شيوعا لنظام التشغيل ينكس. 


(14) http://www.livinginternet.com/i/iw unix dev.htm 
(15) https://en.wikipedia.org/wiki/Berkeley Software Distribution 


(16) https://www.levenez.com/unix/ 


أمن المعلومات وإدارة مخاطر تقنية المعلومات ^Y‏ 





الفصل الثاني 


الشكل :(€-Y)‏ شجرة عائلة ينكس 


1 


BSD System III 
OpenBSD | NetBSD FreeBSD SunOS System V Hp/ UX 


Mac OSX AIX Solaris XENIX 


لينكس: 

في عام 119١‏ قام لينوس تورفالدس» وهو طالب دراسات Ule‏ في علوم الحاسب dI‏ 
في جامعة هلسنكي» بإصدار النسخة الأولى من نظام التشغيل الجديد المشابه لنظام ينكس 
ويُدعى نظام لينكس. ویشار إلى أن نظام لينكس بأنه مشابه لنظام ينكس ليس لأنه يحتوي 
على أكواد برمجية من الإصدارات السابقة لنظام ينكس. بل لأنه يوفر بيئة تشمل تقريباً 
جميع الأدوات والمميزات الموجودة في توزيعة برمجيات بيركلي أو النظام الخامس SysV-)‏ 
(based Unix‏ وتم إصدار لينكس كأحد برمجيات ال مصدر المفتوح Open Source)‏ 
(Software‏ وبرمجيات المصدر المفتوح هي البرمجيات التي يستطيع أي شخص أن يعدل 
في شفرتها الأصلية ويقوم بنشر تعديلاته في جميع أنحاء العام. وكان الدافع وراء تطوير 
قاعدة برمجيات مستقلة واعتماد نموذج ترخيص مميز هو إعطاء المطورين الفرصة لتوزيع 
إبداعاتهم على العام دون عراقيل وقيود أنظمة التشغيل التجارية. وهذا التبادل الحر 
للأفكار تم تعزيزه بشكل كبير منذ منتصف التسعينيات وذلك من خلال زيادة الاتصال 
بالإنترنت. وبدلاً من أن يعمل على تطوير النظام طالب أو طالبين في إحدى الجامعات أو 
بضع عشرات من المطورين في شركة برمجيات تجارية» حظي نظام لينكس بعمل الآلاف 
من المطورين من جميع أنحاء CLI‏ وخلال عقدين من إطلاق نظام لينكس تم تطوير 


(17)http://www.ragibhasan.com/linux/ 


£^ أمن المعلومات وإدارة مخاطر تقنية المعلومات 








إدارة النظام (الجزء الأول) 


النظام ليعمل على كل شيء من أجهزة الحاسب الآلي العملاقة إلى أجهزة الهواتف المحمولة. 
ومع وجود العديد من الأجهزة التي تعمل باستخدام نظام لينكس كأجهزة تحديد المواقع: 
وأجهزة التوجيه اللاسلكية المنزليةء وأجهزة أندرويد. وأجهزة أمازون كيندل» من ا محتمل 
أيضاً أن يكون لديك جهاز يعمل على نظام التشغيل لينكس. وفي شهر نوفمبر من عام 
۲ كان أسرع عشرة أجهزة حاسب آلي عملاقة تعمل على نظام التشغيل لينكس". 

وما يثير الاهتمام أن عدد الإصدارات المختلفة التي جرى إنشاؤها لنظام dés‏ جاءت 
نتيجة dobl‏ والطبيعة ال مفتوحة لتقام التشغيل حيث يستطيع كل شخص أن GAS‏ توزيع 
نظام لكين Lees d cold‏ جنا امنا من asl] adus‏ هات Js sob oe‏ 209 
وخلافا لأنظمة التشغيل التجارية كنظام مايكروسوفت ويندوز ونظام ينكس فإنه لا يوجد 
نسخة رسمية لنظام لينكس لكن يوجد العديد من الإصدارات الرئيسية. وحتى الآن فإن 
التوزيع الرئيسي لنظام لينكس للاستخدام في بيئة الأعمال هو Red Hat Enterprise)‏ 
(Linux‏ واختصارا RHEL)‏ وهذا التوزيع هو التوزيع التجاري لنظام لينكس لكن شركة 
رد هات (Red Hat)‏ تتيح Aa‏ الأطلية جانا لنظام التشغيل بأكمله. وقد gaz‏ مطورو 
مشروع سنتوس (CentOS)‏ الشفرة الأصلية لنظام (RHEL)‏ لإنشاء نظام تشغيل 
لينكس مجاني ومشابه لنظام (RHEL)‏ وسوف نستخدم نسخة مخصصة من نظام سنتوس 
في جميع أنشطة التدريب العملي في هذا الكتاب بدءا من blis‏ التدريب العملي في نهاية 
هذا الفصل. 
أدوات إدارة النظام: 

يوجد العديد من المسميات لأدوات التثبيت والضبط التلقائية في عام ينكس ولينكس. 
ومن أمثلة هذه الأدوات: à (Jumpstart)‏ نظام «(Oracle Solaris)‏ و à (Kickstart)‏ 


نظام (RHEL)‏ ومدير تشيت الشبكة à (Network Installation Manager)‏ نظام 
(IBM AIX)‏ لكنها جميعا تعمل بطريقة متشابهة. ويقوم مسؤول النظام بإنشاء ملف 


(18) http://www.top500.org/lists/2012/11/ 
(19) http://distrowatch.com/search.php ?*ostype-Linux&category-A 1 


(20) https://www.centos.org/ 


أمن المعلومات وإدارة مخاطر تقنية المعلومات ^o‏ 





الفصل الثاني 


يحتوي على تعليمات حول كيفية ضبط أجهزة الشبكة والأقراص الصلبة والأجهزة الشائعة 
الأخرى. كما يحتوي املف على قائمة تضم الحزم البرامجية التي يجب تثبيتها. hel‏ فإن 
الملف يحتوي على البرامج التي يجب تثبيتها لاحقا والتي يكون عملها ضرورياً لإنهاء عملية 
osi‏ 

وتوف de Esa o ba oes oe scele a ds‏ غان شيط الرمهبات بعد 
٠ Cual‏ نظام التشغيل"". ومن بين هذه التطبيقات يعد تطبيق (Puppet)‏ التطبيق الأكثر 
شيوعاً حيث يستخدم بشكل كبير من قبل شركات الإنترنت الكبرى مثل شركة جوجل وتويتر. 
ويقوم مسؤول النظام بإنشاء قانئمة على تطبيق (Puppet)‏ تدعى (puppet manifest)‏ 
وتشمل هذه القائمة البرمجيات التي يجب تثبيتها والضبط ا مناسب لها. ومن ثم يتم إرسال 
القائمة (puppet manifest)‏ إلى خادم واحد أو أكثر مما يؤدي إلى تثبيت البرمجيات بغض 
النظر عن نظام التشغيل الأساسي. 


الملخص: 

يضح هذا الفصل القاعدة الأساسية للجزء التقني من هذا المقرر الدراسي. ويؤدي 
مسؤولو النظم معظم الأنشطة التقنية ذات العلاقة بأمن اممعلومات» ولهذا قدم هذا 
الفصل تعريفا لإدارة النظامء كما وضح الدور الأساسي لمسؤولي النظم في المنظمة. كما عرض 
هذا الفصل أنشطة أمن المعلومات الأكثر شيوعاً والمنفذة من قبل مسؤولي (POSAIT‏ 
عرض هذا الفصل äle al‏ عن الأدوات الشائعة الاستخدام في تبسيط تلك الأنشطة à‏ 
ا منظمات الكبيرة. 


كما يضع نشاط التدريب العملي في هذا الفصل الحجر الأساس لأنشطة التدريب العملي 
التي ستعمل عليها في بقية فصول هذا الكتاب. 


(21) https://en.wikipedia.org/wiki/Comparison, of open-source configuration management . 


software 


(22) https://projects.puppetlabs.com/projects/puppet 


^ أمن المعلومات وإدارة مخاطر تقنية المعلومات 





إدارة النظام (الجزء الأول) 


نموذج حالة- تي جي ماكس (TJ. MAXX)‏ 

في عام ۲٠١۷‏ بدأ اهتمام الشركات بأمن المعلومات يزداد بشكل كبير وذلك بعد الكشف 
عن الخروقات الأمنية المربكة في العديد من الشركات المعروفة. وتمكن العديد من القراصنة 
من الوصول الكامل إلى قواعد بيانات بطاقات الدفع الاثتمانية في العديد من متاجر التجزئة 
الرائدة ما في ذلك شركة تي جي ماكس (TJ. Maxx)‏ وشركة بارنس آند نوبل Barnes and)‏ 
(Noble‏ وشركة أوفيس ماكس (Office Max)‏ الشكل .(0-Y)‏ 


الشكل (0-7): ألبرت غونزاليس» في وقت توجيه الاتهام إليه في أغسطس ٠٠١5‏ 





وقراصنة الحاسب الآلي على علم بأنه من الأفضل أمنياً أن يكون القرصان خارج البلد 
امُستهدفء وذلك لتجنب الملاحقة القضائية. لذا كان يُعتقد في البداية أن الهجمات كانت 
gb‏ من قراصنة من خارج البلاد. لكن التحقيقات كشفت بأن أكثر الهجمات مصدرها محلي 
مما أدى إلى محاكمة ١١‏ رجلاً في 0 دول متضمناً ذلك الولايات المتحدة الأمريكية. وما يُثير 
الاهتمام أكثر بأن زعيم العصابة كان شرا في جهاز الخدمة السرية في الولايات المتحدة 
الأمريكية. 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات AV‏ 


الفصل الثاني 


النتيجة: 

في الخامس من أغسطس من عام 7٠٠١8‏ اتهمت الحكومة الأمريكية ١١‏ شخصا بعدة تهم 
منها: الاحتيال JUI‏ الإلكتروني» وتلف أنظمة الحاسب الآلي» والتآمرء والمصادرة الجنائية, 
وغيرها من التهم بسبب سرقة معلومات بطاقات الدفع الائتمانية من شركات تجزئة رائدة مثل 
شركة تي جي ماكس (TJ. Maxx)‏ وشركة نادي بي جيس هولسيل «(BJ's Wholesale Club)‏ 
وشركة أوفيس ماكس (Office Max)‏ وشركة بارنس آند نوبل (Barnes and Noble)‏ 

ds‏ شهر أغسطس من عام ٠٠١5‏ اتهم العديد من أفراد العصابة نفسها مرة أخرى 
بسرقة بيانات ما يقارب ١١٠١‏ بطاقة دفع ائتمانية من شركة Heartland Payment)‏ 
(Systems‏ وهي الشركة التي تعالج بيانات بطاقات الدفع الائتمانية. وإذا قلنا إن هناك 
٠‏ مليون عائلة في الولايات المتحدة الأمريكية» فإن هذا يعني أن هناك بطاقة ائتمانية 
واحدة مسروقة لكل عائلة أمريكية. وتم توجيه لوائح الاتهام لخمسة منهم في الخامس 
والعشرين من شهر يوليو من عام ۲۰۱۲م . 


خلفية الموضوع: 

تشكلت العصابة التي شاركت في جميع تلك الحوادث في عام -YoY‏ وبين عامي ۲۰۰۳ 
و ۲٠٠۷‏ كانت العصابة تستخدم طرقاً سهلة لاستغلال الثغرات الموجودة في أمن الشبكات 
اللاسلكية في متاجر التجزئة. ولاحظت العصابة أنه لا يوجد في العديد من متاجر d‏ جي 
ماكس أي تدابير أمنية لشبكاتهم اللاسلكية. ونتيجة لذلك فإن عملية الحصول على اسم 
المستخدم وكلمة السر الخاصة بالموظفين أمر سهل حيث يتطلب ذلك الانتظار صباحاً 
بأجهزة الحاسب JI‏ ا محمولة خارج متاجر التجزئة ومن ثم يتم التنصت على حركة مرور 
الشبكة عندما يقوم الموظفون والمديرون بتسجيل الدخول إلى حساباتهم الوظيفية. 

وا الما يتوه أن تلك do os UC o‏ فافض لوول TU‏ اة 3:525 
المعلومات الأخرى في شركة تي جي ماكس» متضمناً ذلك الأنظمة التي تحفظ بيانات بطاقات 


http://www.justice.gov/opa/pr/2013/Tuly/I3-crm-842.html (23)‏ (آخر دخول للموقع فى 13/11/10) 


(24)www.justice.gov/iso/opa/resources/51820137251112]7608630.pdf 


A^‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 








إدارة النظام (الجزء الأول) 


الدفع الائتمانية. وباستخدام هذه المعلومات كان للقراصنة دخول مباشر على معلومات 
بطاقات الدفع الائتمانية. وقام أفراد العصابة لمدة عام تقريبا باستخراج البيانات وتخزينها 
على خوادم الشركة الخاصة ومن ثم استرجاعها في الوقت الملائم لهم. وكان هدف العصابة 
بيع بطاقات ائتمانية وهمية مبالغ زهيدة. 

وشكلت هذه الطريقة التي استخدمتها العصابة في هجماتها الأساس للائحة الاتهام في 
عام Y A‏ وبدءا من أغسطس من عام ۲٠١۷‏ قامت العصابة بتطوير مهاراتها وبدأت 
باستخدام هجمات حقن تعليمات الاستعلام البنيوية (SQL injection)‏ لتثبيت gal»‏ 
ضارة على تطبيقات الشبكة وللوصول إلى قواعد بيانات الشركة. واستخدمت العصابة هذه 
الطريقة في هجماتها والتي جاءت في لائحة الاتهام لاحقاً في عام Yes‏ 


زعيم العصابة وأنشطته: 


زعيم العصابة هو ألبرت غونزاليس» وهو من سكان مدينة ميامي في ولاية فلوريدا. 
وبدءاً من عام ٠٠١‏ تقريباً كان ألبرت يتجول بسيارته في منطقة ميامي بحثاً عن شبكة 
لا سلكية غير آمنة لأحد متاجر التجزئة باستخدام جهاز حاسبه المحمول. وتقوم محلات 
التجزئة عادة باستخدام هذه الشبكات لنقل معلومات بطاقات الائتمان من آلة تسجيل 
المدفوعات النقدية إلى خوادم شركة التجزئة. وعندما تجد العصابة شبكة مفتوحة تقوم 
باستخدام برنامج متلصص على الشبكة (sniffer)‏ مُجهز خصيصاً لسحب أرقام البطاقات 
الائتمانية. وأحد أشهر هذه البرامج هو برنامج (Wireshark)‏ وهو برنامج dle‏ 
وسهل الاستخدام. بعد ذلك يتم بيع أرقام هذه البطاقات الائتمانية الوهمية في السوق 
السوداء. وكانت الضحية الأكبر هي شركة ني جي ماكس والتي فقدت معلومات أكثر من 
٠‏ مليون بطاقة ائتمانية. بعد ذلك تطورت العصابة وقامت باستخدام هجمات حقن 
تعليمات الاستعلام البنيوية (SQL injection)‏ والتي تقوم بزيارة محلات التجزئة للتعرف 
على أنظمة معالجة المعاملات المستخدمة في هذه الشركات. وبعد ذلك تقوم العصابة 
باستخدام هذه المعلومات لتحديد إستراتيجية الهجوم المناسبة لاستهداف أنظمة محددة 
تستخدمها تلك الشركات. كما كانت العصابة تحلل المواقع الإلكترونية لتلك الشركات بهدف 

(25) https://www.wireshark.org/ 


أمن المعلومات وإدارة مخاطر تقنية ال معلومات M‏ 





الفصل الثاني 


seal deal ومن كم تيع العضابة الإنترانيسية‎ cle anl E colas dx 
على تلك المواقع.‎ 

وحصل زعيم العصابة ألبرت غونزاليس على أكثر من مليون دولار كأرباح بيع بيانات 
البطاقات الاثتمانية. وعلى ما يبدو أنه في وقت ما قد تعطلت آلة عد الأوراق النقدية الخاصة 
به مما اضطره لعد "6٠.٠٠٠ ilo‏ دولار يدوياً كلها من فئة ٠١‏ دولاراً. ds‏ شهر أغسطس من 
عام ٠٠١9‏ أقرٌ ألبرت غونزاليس بأنه مذنب في الاتهامات الموجهة إليه في قضية تي جي ماكس. 

في عام ٠٠١‏ أصبح غونزاليس مخرراً لجهاز الخدمة السرية وذلك بعد القبض عليه 
لارتكابه جرائم مختلفة. وبطبيعة عمله مخبرا في جهاز الخدمة السرية ساعد ألبرت 
غونزاليس في عام ٠٠١6‏ في القبض على YA‏ فردا تابعين موقع (Shadowcrew. com)‏ والذي 
كان يقوم بسرقة بيانات بطاقات الائتمان وبيعها بهدف تحقيق الأرباح. ونتيجة لعمليات 
هذا الموقع غير المشروعة تمت سرقة بيانات عشرات الآلاف من بطاقات الدفع الائتمانية. 
وبعد الانتهاء من عملية (Shadowcrew)‏ بدأ ألبرت أعماله الاستغلالية. 


الأثر: 

الضرر المباشر الناتج من هجمات الاحتيال على بطاقات الدفع الائتمانية كان محدودا. 
ففي شهر مارس من عام 7٠٠١1‏ تم القبض على عصابة كانت تنوي استخدام البطاقات 
الائتمانية المسروقة من ني جي ماكس لشراء منتجات تقارب قيمتها ۸ ملايين دولار من 
محلات وومارت (Wal-Marts)‏ ومحلات نادي سامس (Sam's Club)‏ المتعددة في ولاية 
فلوريدا. لكن الأضرار الجانبية كانت جسيمة حيث اضطرت الشركة الأم وهي تي جي إكس 
المساهمة (TJX Companies, Inc.)‏ والتي تتبع لها محلات تي جي ماكس كما تتبع لها 
أيضاً شركة مارشالس (Marshalls)‏ لعمل تسوية قيمتها ٠٠١‏ مليون دولار مع شركة فيزا في 
نوفمبر من عام Y «V‏ كما عملت تسوية أخرى قيمتها VE‏ مليون دولار مع شركة ماستركارد 
في أبريل من عام YA‏ 

كما جاء تأثير تلك الهجمات في كافة أنحاء البلاد حيث اضطر عشرات الملايين من العملاء 
إلى استصدار بطاقات ائتمانية جديدة. أما العملاء الذين اعتمدوا خاصية الدفع الآلي على 
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إدارة النظام (الجزء الأول) 


بطاقاتهم الائتمانية التي سرقت فقد تلقوا إشعارات من مقدمي الخدمات لإشعارهم Ob‏ 
المبالغ المطلوبة لم يتم خصمها بسبب el]‏ البطاقات وإصدار بطاقات جديدة بدلا منها. 


والمثير للدهشة أن مبيعات تي جي ماكس لم تضرر بشكل كبير كما يبدو بسبب تلك 
الهجمات (الشكل 1-۲)ء فقد قامت شركات الائتمان» ومن خلال برامج الحماية التلقائية 
التي تقدمها بطاقات الائتمانء بإعادة جميع الأموال للعملاء الذين تعرضت بطاقاتهم لتلك 
الهجمات. ويظهر من ذلك أن العملاء لا هانعون أن تتعرض بطاقاتهم الائتمانية للسرقة إن 
م يكونوا مسؤولين عن المعاملات الاحتيالية. 


(Y * V*-Y**0) جي ماكس‎ d مبيعات‎ Y) الشكل‎ 
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19.5 4 
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المبيعات (بليون دولار) 





الاهمية: 


تتصف حالة ني جي ماكس بالأهمية الخاصة لدراسة أمن ال معلومات والتخصصات 
الأخرى ذات العلاقةء وذلك لأن الحالة تم توثيقها في Sigel‏ على نطاق واسع. وبالإضافة 
إلى ذلك تتوفر تفاصيل أكثر في لوائح الاتهام التي قدمت في هذه القضية. وتمثل هذه 
الات Lab baee‏ بالمعلومات للجهات ال معنية بأمن المعلومات. وعن دوافعهم» وعن 
الجعراءات القانونية المبعة في حوادث أمن المعلومات الكبيرة. 


Pereira, J. “How credit-card data went out wireless door," Wall Street Journal, May 4, 


2007 
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أسئلة مراجعة للفصل: 
.١‏ ما هي إدارة الأنظمة؟ 
Y‏ طاذا تتصف إدارة الأنظمة بالأهمية؟ 
.Y‏ من هو مسؤول النظام؟ 
€. ما الأنشطة اليومية المهمة التي يقوم بها مسؤول النظام؟ 
0. عرف البنية daxil‏ كخدمة (Infrastructure as a Service)‏ 
1. ما فوائد استخدام البنية التحتية كخدمة T(Infrastructure as a Service)‏ 
۷. ما الخادم الافترا اضي $(Virtual Server)‏ 
۸. ما فوائد استخدام الآلات الافتراضية؟ 
.٩‏ ما دور مسؤول النظام في المحافظة في أمن المعلومات في المنظمة؟ 


۹۲ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


إدارة النظام (الجزء الأول) 


٠.ما‏ هو ضبط البرمجيات؟ 

١.كيف‏ يؤثر ضبط البرمجيات في أمن المعلومات؟ 

.عرف التحكم في الوصول. كيف يؤثر ضعف التحكم في الوصول في أمن المعلومات؟ 

.عرف إدارة المستخدم. كيف تؤثر إدارة اللمستخدم في أمن ا معلومات؟ 

٤.ما‏ المراقبة؟ وكيف تساعد المراقبة أمن المعلومات؟ 

0ه المراقبة التفاعلية؟ وما هي بعض الطرق الشائعة في المراقبة التفاعلية؟ 

7ه المراقبة الاستباقية؟ وما هي بعض الطرق الشائعة في المراقبة الاستباقية؟ 

.ما عملية تحديث النظام؟ ما التحديات التي تواجه تحديث النظم؟ ما أهمية 
تحديث النظم بالنسبة لأمن المعلومات؟ 

.ما نقطة العطل المفردة؟ وكيف يتعامل مسؤول النظام مع هذا النوع من العطل؟ 

9ه الفرق بين القطع الاحتياطية الباردة والقطع الاحتياطية الساخنة؟ 

Gs. Y‏ الدليل النشط؟ ما الدور الذي يلعبه في المحافظة على أمن المعلومات في أجهزة 
الويندوز؟ 

Us. Y Y‏ سياسة المجموعة S(Group Policies)‏ وكيف تساعد سياسة ال مجموعة مسؤول 
النظام في الحفاظ على أمن المعلومات؟ 

لالا.ما مراقبة المجال؟ 

pal. YY‏ بشكل مختصر (في جملتين إلى ثلاث جمل) مواصفات أمن المعلومات للإصدار 
الأخير من مركز النظام الخاص ممايكروسوفت أو منتج آخر مشابه له. 

Gs. Y€‏ هو لينكس؟ وما سبب شيوع استخدامه؟ وما هي بعض توزيعات لينكس 
الرائجة الاستخدام؟ 

Yo‏ دم dol‏ عامة (في جملتين إلى ثلاث جمل) عن قدرات برنامج تقنية المعلومات الآلي 
الذي يستخدمه الكثير من مسؤولي النظم وال معروف ب (Puppet)‏ 
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الفصل الثاني 


أسئلة على نموذج الحالة: 
1 أعدماذا فان 'اللعلومات dosis Ll‏ أعلام آذك شض الأمدلنة مزق الال e:‏ اتاك 
الخصوصية. والتكاملء والجاهزية. 
۲. استناداً إلى حالة تي جي ماكس» حدد الأخطاء في تنفيذ الأنشطة العامة لإدارة 
الأنظمة في وقت حدوث الحالة. 


لتفادي وقوع الحوادث الواردة في الحالة؟ 
نشاط التدريب 1 | - تش ۰ نظام لين 5 : 
إخلاء مسؤولية 


PENT‏ طة التي cal‏ على وشك إجرائها كن أن تضر جهاز الحاسب الآلي الخاص 


بك إذا لم تطبّق بالشكل الصحيح. ومع أنه تم بذل كل الجهد ممنع ذلك من الحدوثء 
يُرجى مُلاحظة أن حماية البيانات على جهازك وحماية الجهاز نفسه gi‏ في نهاية 
المطاف ضمن مسؤوليتك. 





من أجل الحصول على الخبرة العملية المتعلقة بالمهارات الأساسية في أمن المعلومات 
وإدارة الأنظمة, يتضمن الكتاب سلسلة من أنشطة التدريب العملي التي تستخدم نظام 
التشغيل لينكس. وسوف تقوم بإنشاء البيئة AEI‏ لأنشطة التدريب العملي في هذا 
الفصل. وعند الانتهاء من هذا النشاط سيكون لديك نسخة العمل الخاصة بك من سينتوس 
لينكس (http://centos.org)‏ والتي سنقوم باستخدامها في هذا المقرر الدراسي. stas‏ على 
خبرتناء يرى الطلاب في نهاية المقرر الدراسي أن الفائدة الكبرى تكمن في هذه الجزئية من 
المقررء كما يعتقد الطلاب أن هذه الجزئية واحدة من الأنشطة الأكثر إثارة خلال دراستهم 
الجامعية. وقد تم اختيار الضبط المحدد في هذا التمرين لأنه يسمح بإنشاء البنية التحتية 
اللازمة على أي جهاز حاسب آلي تملكه. ولقد بذلنا جهدا كبيرا لجعل هذا المصدر متاحا لك 
oS‏ هذه المهارات مطلوبة بشكل كبير من قبل أرباب العملء كما أن هذه المهارات شميزك 


a€‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


إدارة النظام (الجزء الأول) 


عن منافسيك في سوق العمل. ونأمل أن تجد هذه الأنشطة مثيرة للاهتمام وأن يكون ذلك 
كحماسنا لإنشاء تلك الأنشطة (الشكل (V-Y‏ 


شكل :(V-Y)‏ هيكلة الآلة الافتراضية 


نظام التشغيل الأساسي (جهاز ويندوز/جهاز ماك) 


الآلة الافتراضية 


ويتكون نشاط التدريب العملي لهذا الفصل من خطوتين: في الخطوة الأولى سيتم 
تثبيت البيئة الافتراضية ا مسماة às (VirtualBox)‏ الخطوة الثانية ستقوم باستخدام ال 
(VirtualBox)‏ لإنشاء آلة افتراضية تحتوي على نظام تشغيل لينكس تم ضبطه oct‏ 





الخطوة الأولى-تثبيت ال :(VirtualBox)‏ 

قبل أن تبدأ انتبه ممتطلبات الحد الأدنى للنظام: 

* ويندوز إكس 3« ويندوز V‏ ويندوز سيرفر 27٠0٠7‏ أو ويندوز سيرفر Y 8A‏ 

٠‏ ماكنتوش أو إس إكس 35,6 أو أحدث. 

Y ۰‏ جيجا بايت من الذاكرة العشوائية (RAM)‏ 

٠‏ مساحة من القرص الصلب لا تقل عن ٠١‏ قيقا بايت. 

ويقوم تطبيق (VirtualBox)‏ بإنشاء à JI‏ افتراضية على جهاز الحاسب I‏ ويعد 
(VirtualBox)‏ تطبيقا مفتوح المصدر هكن تثبيته على أي جهاز يعمل على معالج إنتل 
(Intel)‏ أو معالج أي el‏ دي (AMD)‏ ويمكن تثبيت أنظمة تشغيل فرعية على الآلات 
الافتراضية. وهكذا يمكن لجهاز 9425 الذي يحتوي على قوة معالج وذاكرة مناسبتين» أن 
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الفصل الثاني 


يشغل أنظمة تشغيل متعددة. اتبع هذه الخطوات لتثبيت ال (VirtualBox)‏ على جهازك 
الشخصي. وكان يتم تحديث المنتج بشكل سريع جداً وقت كتابة هذا الكتابء لذا فإن رقم 
الإصدار الخاص بك قد يختلف عن رقم الإصدار الذي يظهر هنا. وستكون في مأمن عند 
اتباعك لقاعدة الضبط الإدارية للمستهلكين وهي «عندما تشك قم بتثبيت الإصدار الأخير». 
ومعلومات أكثر عن تطبيق (VirtualBox)‏ بإمكانك الاطلاع على دليل الإرشادات الخاص 
ب (VirtualBox)‏ " وبالتحديد الفصل الأول من الدليل. 


(VirtualBox) من موقع ال‎ (A-Y قم بزيارة صفحة التنزيل الإلكترونية (الشكل‎ .١ 
لا من الأفضل الست عن‎ lazo يفو‎ dl Mg Aut ue deed وذلك‎ 
للحصول على الرابط. وتبدو الصفحة كما في الشكل‎ «(VirtualBox) «تنزيل ال‎ 
التالي. قم بتنزيل المثبت المناسب للنظام الخاص بك. والإرشادات أدناه خاصة‎ 
بنظام التشغيل ويندوز وهي مشابهة لإرشادات التنزيل للأنظمة الأخرى.‎ 


الشكل :(A-Y)‏ صفحة تحميل ال (VirtualBox)‏ 


S% VirtualBox -— 


Download VirtualBox 


Here, you will find links to VirtualBox binaries and its source code, 


reenshots VirtualBox binaries 





By downloading, you agree to the terms and conditions of the respective license 


* VirtualBox platform packages. The binaries are released under the terms of the GPL version 2 
VirtualBox 5.0.20 for Windows hosts — «86/amd64 
VirtualBox 5.0.20 for OS X hosts - 4 
VirtualBox 5.0.20 for Linux hosts 
VirtualBox 5.0.20 for Solaris hosts — amdó4 





* VirtualBox 5.0.20 Oracle VM VirtualBox Extension Pack Ali s 
Su d USB 3,0 devices, VirtualBox RDP and PXE 







If you are 


* VirtualBox 5.0.20 Software Developer Kit (SDK) -All platform: 


؟. وللبدء في عملية التثبيت انقر نقراً مزدوجاً على الملف الذي تم تنزيله. ثم انقر على 
زر «gtl»‏ على شاشة الترحيب (الشكل (3-Y‏ لبدء عملية التثبيت. 


(26)http://www.virtualbox.org/manual/ 
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إدارة النظام (الجزء الأول) 


الشكل :(8-Y)‏ الصفحة الترحيبية Cal‏ ال (VirtualBox)‏ 


Welcome to the Oracle VM 
VirtualBox 5.0.20 Setup 
Wizard 


The Setup Wizard will install Orade VM VirtualBox 5.0.20 on 
your computer. Click Next to continue or Cancel to exit the 
Setup Wizard. 


Version 5.0.20 





(VirtualBox) يطلب منك الآن تحديد المكان الذي ترغب فيه لتثبيت تطبيق ال‎ Y 
«gtl» انقر على زر‎ (Program Files) والموقع الافتراضي هو مجلد ملفات البرامج‎ 
.)٠١-۲ إذا كان موقع التثبيت الافتراضي مناسبا لك (الشكل‎ 

الشكل :)٠١-۲(‏ موقع التثبيت الافتراضي 


Custom Setup 
Select the way you want features to be installed. 


Click on the icons in the tree below to change the way features will be installed. 





31e |v on Orade VM VirtualBox 5.0.20 
VirtualBox USB Support application, 


on 
3- 
&g + | VirtualBox Networking 


23 ~ | VirtualBox Brid 
2 a T 0101005000 This feature requires 152MB on 
E9-|VrtualBoxHostC your hard drive, Ithas 3 3 
Ez | VirtualBox Python 2.x SL — subfeatures selected. The 
subfeatures require 684KB on yo... 


< > 
Location: C:\Program Files\Orade\irtualBox\ Browse 
Version 5.0.20 Disk Usage « Back Next > Cancel 





.٤‏ ستستمر عملية التثبيت بشكل مشابه لتثبيت أي تطبيق آخر. وقد تتلقى تنبيهاً 
من «التحكم في قبول ا مستخدم» (User Acceptance Control)‏ اسمح لعملية 
التشيت بالاستمرار بالنقر على زر «التالي». 
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الفصل الثاني 


0. وقد تتلقى تحذيرا بأنه سيتم إعادة تشغيل اتصال الشبكة. إذا كانت هناك أنشطة 
على الشبكة (كتحميل الملفات. أو الموسيقىء وما إلى ذلك) عليك الانتهاء من هذه 
الأنشطة كاملة قبل عملية اممتابعة. 

. وإذا طلب منك تثبيت دعم الناقل التسلسلي العامي (USB)‏ من امُستحسن أن تختار 
تثبيت هذا الدعم. 

۷. انقر على «إنهاء» لإكمال التثبيت. وعند اكتمال التثبيت» ستظهر رسالة تأكيد (الشكل 
؟-١١).‏ وإذاتم تمكين خانة الاختيار لبدء تطبيق ال (VirtualBox)‏ سيظهر لك مدير 
الصندوق الظاهري à (Virtual Box manager)‏ الشكل (YY-Y)‏ وهو فارخ Lite‏ 
لكنك ستقوم بملئه مع نظام تشغيل لينكس الخاص بك في الخطوة الثانية من هذا 
التدريب العملي. 


(VirtualBox) J) تأكيد تثبيت‎ :)١١-( الشكل‎ 


Oracle VM VirtualBox 0 
p . installation is complete. 
v x Click the Finish button to exit the Setup Wizard. 


Á 


¥ Start Oracle VM VirtualBox 5.0.20 after installation 





Version 5.0.20 Finish 
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إدارة النظام (الجزء الأول) 


الشكل )1-7( مدير الصندوق الظاهري (Virtual Box manager)‏ 





File Machine Help 


uel i5? Details 


Welcome to VirtualBox! 


of all virtual machines on Nr yu computer. The list is 
ated any virtual machines yet. 







The left part 
empty now 





T —— 
In order to create a new virtual s the New e 
in tool bar loc; xu e due ofthe N 
ac as the Hi key to get neant eb O Fi 
5 org for the hse news. 


الخطوة الثانية - تثبيت نظام التشغيل: 
وكما هو موضح في دليل إرشادات ال (VirtualBox)‏ فإنه مكنك تثبيت أي نظام 
التشغيل لينكس» والذي يسمح لنا بالتحايل على قيود الترخيص التجارية. ولحسن الحظ 
فإن معظم المفاهيم الأمنية يمكن تعميمها لأنظمة التشغيلء ومعظم ال مفاهيم الأمنية التي 
سوف تتعلمها هنا تنطبق أيضاً على نظام تشغيل ويندوز. اتبع التعليمات التالية لتثبيت 
توزيع نظام التشغيل لينكس المخصص ف الآلة الافتراضية الجديدة في جهازك: 
١.قم‏ بتحميل الصورة الافتراضية ل (CentOS Linux)‏ من الموقع الإلكتروني المرفق 
في الكتاب. والمقصود بامتداد املف (.ova)‏ هو الجهاز الافتراضي الطفتوح Open)‏ 
(Virtual Appliance‏ وهو معيار صناعي لتثبيت حزم أنظمة التشغيل في الآلة 
الافتراضية"”". وهذا التصميم تم إنشاؤه من قبل شركة (VMWare)‏ وهي شركة 
رائدة في الصناعة الافتراضية. ولاحظ أن هذا املف lias‏ (أكبر من ۲,۵ جيجا 
بايت) OS‏ أن يستغرق تحميله عدة ساعات حتى وإن كنت تستخدم الإنترنت 
ذات النطاق الواسع (Broadband)‏ 
۲.انقر نقراً مزدوجاً على ملف CentOS. 6.0va‏ وعندها سیہدا «معالج استيراد 
الأجهزة». وبالإمكان استخدام الإعدادات الافتراضية, كما يمكن البدء بإعداد في عملية 
إنشاء الآلية الافتراضية عن طريق النقر على استيراد كما هو موضح في الشكل -Y)‏ 
.(W‏ وقد تستغرق عملية الاستيراد من ٠١‏ إلى ٠١‏ دقيقة flo‏ على سرعة الكمبيوتر 
وموقع التثبيت. 


http://fileinfo.com/extension/ova معلومات أكثر انظر الموقع الإلكتروني التالي:‎ (YV) 


أمن ا معلومات وإدارة مخاطر تقنية المعلومات ۹۹ 





الفصل الثاني 


الشكل :)١-9(‏ الإعدادات الافتراضية لاستيراد نظام التشغيا 








% Snapshots 
Appliance settings 


x TT computer. The list is 
These are the virtual machines contained in the appliance and the suggested 


settings of the imported VirtualBox machines. You can change many of the 


properties shown by double-clicking on the items and disable others using the " 
check boxes below. 1 





Description Configuration 4 


901 Export v11 1 7 
= Guest OS Type a| Linux 26 / 3x / 4x (2-... 

i cu 
E RAN 512 MB 
) DVD 7 
L Y USR Controller / 
[ | Reinitialize the MAC address of all network cards 

















Restore Defaults Import 


9 
axes. Y‏ اكتمال التثبيت فإن مدير الصندوق الافتراضي (Virtual Box manager)‏ 
سيُظهر الآلة الافتراضية الجديدة في قائمة الآلات الافتراضية كما هو موضح في الشكل 
(-16). ومن الآن يمكنك تشغيل تطبيق ال (VirtualBox)‏ واختيار الآلة الافتراضية 
والنقر على زر ابدأ لتشغيل الآلة الافتراضية. وبإمكانك النقر على زر «توقف» لإنهاء 
عمل الآلة الافتراضية. 
ds.‏ هذه المرحلة قد تكون متحمس لمعرفة ما يؤدي إليه كل هذا. يمكنك الآن النقر 
على زر ابدأ بعد أن انتهيت من استيراد الآلة الافتراضيةء وعندها سيبدأ نظام تشغيل 
لينكس. المشكلات الشائعة وحلولها موجودة أدناه. وبعد حل هذه المشكلات 
ستظهر لك شاشة (CentOS Linux)‏ لتسجيل الدخول. 


أمن المعلومات وإدارة مخاطر تقنية المعلومات 














إدارة النظام (الجزء الأول) 


الشكل (-؟١):‏ الآلة الافتراضية في مدير الصندوق الافتراضي 


File Machine Help 


o @ 


New Settings Discard 


B 5 
Acceleration: —PAE/NX 


Display 


ij 

Video Memory: 

Remote Desktop Server: Disable 

Video Capture: 

Storage‏ إن 

CentOS 6-diski.vmdk (Normal, 8.00 GB) 
ry Slave: [Optical Drive] Empty 

Controller: SATA Controller 

9^ Audio 


HostDriver: Windows DirectSound 
Controller: ICH AC97 


=} Network 


Adapter 1: Intel PRO/1000 MT Desktop (NAT) 


Shared folders 
None 

2 Description 
None 





المشكلات المحتمل حدوثها: 

1: قد Lodo obs‏ يشير إل أنك قمت بتحميل وفيت Ago‏ كاملة وذلك أن ال 
(USB 2.0)‏ مفعل في جهازك. يمكنك تجاهل هذا التحذير كما يمكنك تحميل 
وتيت الحزمة الكاملة ال موجودة في الموقع الإلكتروني ل (VirtualBox)‏ 

.Y‏ وقد تتلقى رسائل تحذيرية بخصوص حركة الفأرة وحجم الإطار وما إلى ذلك. يمكنك 
ele Lal‏ هده الرساكل. 

.Y‏ وقد تتلقى رسالة تفيد بوجود مشكلة في وحدة المعالجة ال مركزية (CPU)‏ يرجى 
اختيار الآلة الافتراضية (VM)‏ ثم الضبط (Settings)‏ في مدير الآلة الافتراضية 
«(VM manager)‏ ثم (System) eL AI‏ ثم ا معالج (Processor)‏ وبعد ذلك 
اختيار تمكين محول الشبكة «(enable PAE checkbox)‏ كما هو موضح في الشكل 
(Y0-Y)‏ والشكل (Y1-Y)‏ 


أمن المعلومات وإدارة مخاطر تقنية المعلومات EE‏ 


الفصل الثاني 


الشكل (؟-0١):‏ خطأ في وحدة المعالجة المركزية 


CentOS 6 [Runniag! - Oracle VM VirtualBox 


Machine View Devices Help 


(SJ right cri 








(enable PAE checkbox) تمكين محول الشبكة‎ :(YV-Y) الشكل‎ 


General Network‏ كك 


System Adapter 1 Adapter 2 | Adapter3 | Adapter4 








Display V| Enable Network Adapter 
Attached to: NAT 
ijj Storage 
Audio > Advanced 


P Network 


» Serial Ports 


J USB 


ij Shared Folders 


User Interface 


Cancel 





ع. وإذا كنت غير قادر على الاتصال بالشبكة, انقر على إعدادات (Settings)‏ ثم شبكة 
(Network)‏ وقم بإرفاق محول الشبكة (Network Adapter 1) Y‏ إلى ترجمة 
عناوين الشبكة (NAT)‏ كما هو موضح في الشكل (۱۷-۲). كما يمكنك النزول إلى 
الجزء السفلي من الصفحة الأولى ومن ثم اختيار الشبكة (Network)‏ 


E‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 








إدارة النظام (الجزء الأول) 


الشكل :(YV-Y)‏ إرفاق محول الشبكة (Network Adapter 1) ١‏ إلى ترجمة عناوين الشبكة 
(NAT)‏ 


; General Network 


System Adapteri | Adapter2 | Adapter 3 | Adapter4 





Display [V] Enable Network Adapter 


Attached to: NAT 
Storage 


Audio Advanced 
P Network 
$ Serial Ports 
? USB 
Shared Folders 


$^, User Interface 


Cancel 





تشغيل الآلة الافتراضية: 
.١‏ عندما تبدأ الآلة الافتراضية بالعمل سوف تشاهد شاشة الدخول كما هو موضح في 
الشكل (A-Y)‏ 


الشكل :(YA-Y)‏ شاشة الدخول للآلة الافتراضية سينتوس 


لک 
tZ‏ 


sunshine.edu 


Username: |alicel 





أمن المعلومات وإدارة مخاطر تقنية ا معلومات Mv‏ 


الفصل الثاني 
.Y‏ أدخل اسم الدخول (alice)‏ وكلمة المرور «Caisforapple)‏ بعد ذلك سيظهر لك 

سطح ا مكتب الخاص ب سينتوس كما في الشكل )9-7( 
الشكل (۱۹-۲): سطح ا مكتب لسنتوس لينكس 


m; 








أ- ولإيقاف الآلة الافتراضية اتبع ما يلي: 
à .‏ أجهزة الويندوز: (Machine)‏ € إغلاق (Close)‏ 


(Quit) sœ! € (Virtual Box) في أجهزة الماك:‎ ٠ 


ب- ولتشغيل الآلة الافتراضية مرة أخرى اتبع ما iuo‏ 


Programs) © (Oracle) البرامج‎ © (Start) Tol. في أجهزة الويندوز:‎ ٠ 
(VM VirtualBox) € (Oracle VM VirtualBox 


(Applications) € (Virtual Box) في أجهزة اماك:‎ ٠ 


.Y‏ في الفصل القادم سوف تتعلم بعض الأساسيات عن: إدارة أنظمة ينكس /لينكس ها 
2 ذلك التنقل «Sla à‏ واستخدام امحرر السادس (vi editor)‏ وإنشاء حسابات 


M‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


إدارة النظام (الجزء الأول) 


أسئلة على نشاط التدريب العملى: 


3 


Y 


اشرح بشكل مختصر تطبيق ال (VirtualBox)‏ وأهم استخداماته. 


اشرح بشكل مختصر تنسيق ال ملف OVA‏ 


لتوضيح أنك قمت بتثبيت الآلة الافتراضية بنجاح قم ها يلي: 


.) 


Y 


خذ صورة من الشاشة لسطح المكتب الخاص ب سينتوس CentOS)‏ 

قم بتشغيل متصفح الإنترنت من خلال: تطبيقات (Applications)‏ "€ الإنترنت 
(Internet)‏ "€ متصفح الفايرفكس (Firefox)‏ ثم قم بأخذ صورة من الشاشة 
لنافذة المتصفح تعرض الصفحة الرئيسية الافتراضية للمتصفح. 

قم بتشغيل مراقب النظام من خلال: تطبيقات (Applications)‏ "€ أدوات النظام System)‏ 
(tools‏ > مراقب النظام (System monitor)‏ ثم قم jsi‏ صورة من شاشة طراقب النظام. 


; قم بتشغيل الوحدة الطرفية من خلال: تطبيقات (Applications)‏ > أدوات النظام System)‏ 


(tools‏ > الوحدة الطرفية (Terminal)‏ وفي صفحة موجه الأوامر أدخل الأمر 
(whoami)‏ ثم قم بأخذ صورة من الشاشة لنافذة الوحدة الطرفية توضح الأمر 
ومخرجاته (سنستخدم نافذة الوحدة الطرفية بشكل كبير في معظم أنشطة التدريب 
العملي في هذا الكتاب). 

قم بإيقاف UYI‏ الافتراضية من خلال: الآلة (Machine)‏ © إغلاق (Close)‏ € 
إطفاء الآلة .(Poweroff the machine)‏ 


تمرين التفكير النقدي - الحكم بالسجن على مديرين تنفيذين في d$ à‏ جوجل بسبب 193943 


في شهر سبتمبر من عام ٠٠١7‏ قام أربعة من الزملاء بالتتمر على صبي يعاني من مرض 
التوحد وذلك في مدرسة في مدينة تورين بإيطاليا. وقاموا بتصوير ذلك في مقطع الفيديوء 
كما قاموا بنشره على موقع اليوتيوب التابع لشركة جوجل. انتشر مقطع الفيديو وأصبح 
مشهورا حيث تمت مشاهدته أكثر من * *0,0 مرة خلال شهرين. كما وصل هذا المقطع إلى 
قائمة «الفيديو الأكثر تسلية» في موقع جوجل الإيطالي. 


أمن ا معلومات وإدارة مخاطر تقنية المعلومات ۱۰0 


الفصل الثاني 


وعندما تم إعلام شركة جوجل بذلك من قبل الشرطة الإيطالية قامت بإزالة مقطع 
الفيديو. لكن والد الطفل ومنظمة فيفي 6 (Vivi Down)‏ وهي المنظمة التي تمثل 
الأشخاص امصابين متلازمة «slo‏ رفعوا دعوى قضائية ضد أربعة من المديرين التنفيذين 
في جوجل بتهمة التشهير ومعالجة البيانات الشخصية بصورة غير مشروعة. وادعت جوجل 
أنها تجاوبت بشكل سريع بإزالة مقطع الفيديو عندما تم إبلاغها. 


وف الرابع والعشرين من شهر فبراير من عام Coli ٠٠٠١‏ محكمة ميلانو جميع المديرين 
التفيديق من dag‏ التقيين لكن المحكمة cal‏ أن 235 من المديرين العنفيذين مذنبون 
في معالجة البيانات الشخصية بصورة غير مشروعة. وقي تباطئهم في إزالة الفيديو عندما تم 
إبلاغهم من قبل الشرطة. وهؤلاء المديرون هم: نائب الرئيس ومدير الشؤون القانونية 
ديفيد gag‏ والعضو السابق مجلس إدارة جوجل الايطالي جورج دي لوس رييس» 
ومستشار الخصوصية العالية بيتر فليشر. وتم تحميلهم المسؤولية الشخصية بذلك لأن 
القانون الإيطالي ينص على أن الموظفين مسؤولون قانونياً عن أنشطة الشركات التي يعملون 
فيها. وم يكن هؤلاء المديرون في إيطاليا وقت المحاكمة. كما تم تعليق الحكم بانتظار 
الاستئناف لذا لمم يكن أي منهم تحت التهديد المباشر بالسجن. 

وكان موقف جوجل الذي عبر عنه مدير اتصالاتها بأنهم b»‏ يقوموا بتحميل مقطع 
الفيديوء وم يقوموا ongan‏ وم يقوموا مراجعتهء ومع ذلك فقد تم الحكم عليهم بأنهم 
مذنبون». وفي حكم القاضي الذي احتوى على ١١١‏ صفحة كتب القاضي أوسكار ماجي 
«الإنترنت ليست البراري اللامحدودة التي يُسمح فيها بكل شيء ولا gd‏ منها شيء...بدلاً 
من ذلك هناك قوانين تنظم السلوك وإذا لم تحترم القوانين فإن العواقب الجزائية قد تترتب 
على ذلك». lesg‏ للقانون الإيطالي فإن عدم إيقاف حقيقة ماء Joles‏ ما يسبب تلك 
الحقيقة. لذا يتطلب قانون حماية البيانات الحصول على إذن مسبق قبل التعامل مع 
البيانات الشخصية. لكن شريط الفيديو ا منشور احتوى على بيانات شخصية. ولذلك كانت 
جوجل مسؤولة عن التأكد من أن المستخدم الذي نشر الفيديو حصل على موافقة كل من 
شارك في الفيديو. وفي الحادي والعشرين من شهر ديسمبر من عام Y «VY‏ ألغت محكمة 
الاستئناف الإيطالية الإدانة وبرأت المديرين التنفيذيين. 


Y‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


إدارة النظام (الجزء الأول) 


المراجع: 


Manuela D’ Alessandro, "Google executives convicted for Italy autism video; 
02/24/2010, http://www.reuters.com/article/201024/02//us-italy-google-conviction- 
idUSTRE61N2G520100224 (accessed 07/16/2013). 


Hooper, J. “Google executives convicted in Italy over abuse video,” The Guardian, 
02/24/2010, http://www.guardian.co.uk/technology/2010/feb/24/google-video-italy- 
privacy-convictions (accessed 07/16/2013) 


Povoledo, E. “Italian judge cites profit as justifying a Google conviction, New York 
Times, April 12, 2010. 


EDRi-gram, “First decision in the Italian criminal case against Google executives; 
02/24/2010, http://www.edri.org/edrigram/number8.4/decision-italy-vs-google- 
executives (accessed 07/16/2013). 


Pfanner, E. "Italian appeals court acquits 3 Google executives in privacy case; New 
York Times, December 21, 2012. 


أسئلة على تمرين التفكير النقدى: 

.١‏ ما رأيك في تلك الحادثة؟ 

.Y‏ هل يفترض أن يكون مسؤولو الأنظمة والشركات مسؤولين عن محتوى ما ينشره 
ا مستخدمون à‏ الموقع الإلكتروني التابع للشركات؟ 

Y‏ افترض أنك مسؤول النظام لموقع ماء وأنك تلقيت طلباً من أحد المستخدمين بحذف 
صورة تم تحميلها بواسطة صديق في حفلة كان المستخدم حاضرا فيها. هل تعتقد 
أن هذا الطلب معقول؟ 

كرف Cumas‏ لطلت كهذًا؟ 


ratur 





تصميم حالة: 

لتصميم هذه الحالة سنعتمد على جامعة ولاية الشمس المشرقة التي تعرضنا لها في 
الفصل الأول. وبشكل مشابه للعديد من الخدمات الأخرى المتعلقة بتقنية المعلومات في 
الجامعة. ينقسم دعم البريد الإلكتروني إلى نظامين رئيسيين هما: 


أمن ال معلومات وإدارة مخاطر تقنية ا معلومات ۱۰۷ 

















الفصل الثاني 


.١‏ تقوم إدارة تقنية ال معلومات» والتي ترجع إلى نائب الرئيس لشؤون امال والأعمالء 
بدعم البريد الإلكتروني لجميع الموظفين الإداريين. ولأسباب تاريخية» يقوم مكتب 
المدير (نائب الرئيس للشؤون الأكادهية) بالدفع لإدارة تقنية المعلومات لدعم البريد 
الإلكتروني لأعضاء هيئة التدريس أيضا. 


.Y‏ البريد الإلكتروني الخاص بالطلاب يتم دعمه من خلال موظفي الدعم الفني الذين 
يرجعون إلى عميد شؤون الطلاب. 

ويعمل نظام البريد الإلكتروني للطلاب على خادم واحد تم شراؤه قبل ست سنوات. ويحتوي 
الخادم على اثنين من محركات الأقراص الداخلية. وتحتوي محركات الأقراص الداخلية على 
نظام التشغيل والتطبيقات ومجموعة من الأقراص الخارجية (JBOD)‏ التي تحتوي على جميع 
البيانات. كما يحتوي الخادم على مصدر واحد للتيار الكهربائي ومنفذ شبكة واحد. ويعمل 
الخادم على نظام لينكس (Linux)‏ وعلى برنامج (Sendmail)‏ لتسليم البريد الإلكتروني وهو 
برنامج مفتوح المصدر ويعتمد على بروتوكول إرسال البريد البسيط (SMTP)‏ 

وتسببت إحدى المشكلات الأخيرة في القرص الداخلي إلى تحطم خادم البريد الإلكتروني 
للطلاب. عند حدوث ذلك للمرة الأولى كان هناك انقطاع في الخدمة لمدة W‏ ساعة. 
وللأسف م يتم معرفة سبب انقطاع الخدمة مما أدى إلى حدوث المشكلة مرة أخرىء لكنها 
كانت jS]‏ خطورة ]3 فقد جميع رسائل البريد الإلكتروني بسبب مشكلة خطيرة في حفظ 
الرسائل. وم يتمكن اللمسؤول عن النظام والقائم بأعمال الخادم من التعامل مع ضغوط 
العمل وقدم استقالته. وعلى فرض أنك كنت المساعد لمسؤول النظام وكان عميد شؤون 
الطلاب في مأزق وعرض عليك وظيفة براتب كبير وبدلات كما وفر لك برنامجاً لإعفائك من 
رسوم الدراسة لمساعدتك في التخرج من الجامعة7". 

وبعد الحادثة بأسبوعين عاد الخادم إلى العمل وتم استعادة جميع رسائل البريد الإلكتروني 
من الشريط. وها أن المشكلة حدثت الساعة الواحدة بعد الظهرء والنسخ الاحتياطي الأخير 
تم في الساعة الثانية صباحاً من يوم الثلاثاءء فإنه لا هكن استعادة البريد الإلكتروني الذي تم 
تسليمه بين هذين الوقتين وتم فقده نهاٿيا. 
(YA)‏ على الرغم من أن هناك بعض الدراما فيما ذكرء إلا أن هذا السيناريو يعتمد على حادثة حقيقية. 


1۰۸ أمن المعلومات وإدارة مخاطر تقنية المعلومات 





إدارة النظام (الجزء الأول) 


cA CUT als‏ عا فين دا مها لدف ]ل duds‏ تمده العامة lon colos‏ مح اة 
شؤون الطلبة أن تقدم توصية لأحد الخيارات التالية مع توضيح أسباب التوصية: 
٠‏ صيانة خوادم البريد الإلكتروني محليا. 
e‏ استبدال كامل البنية التحتية للبريد الإلكتروني ب (البرمجيات كخدمة) Software)‏ 
.(as a Service‏ 


GoogleApps for Education) https://www.) استخدام تطبيقات جوجل للتعليم‎ ٠ 
/google.com/apps/intl/en/edu 


أسئلة على تصميم الحالة الأمنية: 
.١‏ ما هي مجموعة الأقراص الخارجية $UBOD)‏ 
. في خطوة لدراسة الخيارات السابقة لجامعة ولاية الشمس المشرقة ننصح بإجراء ele‏ 
وهو النظر فيما يقوم به زملاؤك الآخرون وهو ما يُسمى في إدارة الأعمال بالمقارنة 
ا مرجعية. وفي السياق الخاص بك تنصح أن تنظر فيما تقوم به الجامعات المناظرة 
لجامعتك بخصوص إدارة أنظمة البريد الإلكتروني. 

٠‏ (أ) اذكر ثلاث جامعات أو كليات في منطقتك تعتقد أنها تمثل نظائر قريبة 
لجامعة ولاية الشمس المشرقة (اجعل هذه القائمة في متناول يدك لأنك ستجد 
نفسك ترجع إلى هذه القائمة باستمرار لدراسة ما تقوم به هذه الجامعات 
لمواجهة التحديات التي تواجهها في هذا الفصل والفصول اللاحقة). 

٠‏ (ب) أي من الخيارات السابقة المتعلقة بإدارة البريد الإلكتروني موجودة في 
الجامعات التي حددتها؟ لماذا اختارت الجامعات هذه الخيار؟ (بإمكانك 
العثور على معلومات حول هذا ا موضوع في موقعهم الإلكتروني» كما مكنك 
الاتصال هاتفيا بالدعم الفني). 

٠‏ (ج) إذا م تكن جامعتك مذكورة في القائمة التي حددتها في C)‏ ما الذي تقوم 
به جامعتك لإدارة خدمات البريد الإلكتروني؟ وماذا؟ 
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الفصل الثاني 


Y‏ ما المشكلات التي تتوقع حدوثها في النظام الحالي لجامعة ولاية الشمس المشرقة 


الموضح في الشكل (Y -Y)‏ ما نقاط العطل المفردة *(single points of failure)‏ 
وما الذي يجب عمله للنظام المحلي حتى يتمكن التعامل بأمان مع خدمات البريد 
الإلكتروني في حال تعطل أي نقطة من blä‏ العطل ال مفردة؟ 


الشكل :)۲١-۲(‏ البنية التحتية للبريد الإلكتروني في جامعة ولاية الشمس المشرقة 


الوصول للبريد 
em.‏ الالكتروني من 
B.‏ || الانترنت X‏ 
١ — ig‏ 
N br‏ 
قرص صلب 
خارجي واحد اكه 
w‏ 
مصدر واحد War-‏ 
للتيار الكهربائي - 
5 4 ها 
منفذ واحد للشبكة i‏ | 
é‏ الوصول من أجهزة 








. ما المميزات (إن وجدت) التي تستطيع الحوسبة السحابية (البرمجيات كخدمة 


Infrastructure as a) والبنية التحتية كخدمة‎ «(Software as a Service) 
تقد ھھا والتى لا ممكن توفريها محليا؟‎ (Service 


. خلال دراستك للخيارات السابقة وجدت أن أحد الاستفسارات الشائعة لدى الدعم 


الفني يتعلق ب (استعادة البريد الإلكتروني المحذوف من غير قصد). ما الوسائل (إن 
وجدت) التي توفرها الخيارات السابقة لاستعادة البريد الإلكتروني المحذوف من غير 


قصد؟ 


.٦‏ يطلب معظم الطلاب ميزة مهمة أخرى وهي الوصول إلى البريد الإلكتروني من الأجهزة 


ا مختلفة كالهواتف الذكيةء وكذلك الوصول إلى البريد الإلكتروني من تطبيقات البريد 
الإلكتروني التقليدية ك (Thunderbird)‏ و (Eudora)‏ ما الدعم الذي يقدمه كل 
خيار من الخيارات السابقة للوصول إلى البريد الإلكتروني من الأجهزة المختلفة؟ وما 
زايا ووت كل.خياز nz)‏ ,هذا اللرصول؟ 


أمن المعلومات وإدارة مخاطر تقنية المعلومات 


الفصل الثالث 
إدارة النظام (الجزء الثاني) 


نظرة عامة: 

في الفصل السابق ناقشنا موضوع إدارة النظام وقدمنا وصفاً للدور الذي يقوم به 
مسؤولو النظم في أمن ا معلومات. وفي هذا الفصل سنستمر بمناقشة إدارة الأنظمة من 
خلال تقديم مجموعة أساسية من العمليات التقنية المستخدمة من قبل مسؤولي النظم. 
وسيتم تطبيق هذه العمليات التقنية باستخدام آلة لينكس الافتراضية التي جرى إنشاؤها 
في الفصل السابق. وفي نهاية هذا الفصل يجب أن تعرف: 

٠‏ المكونات الأساسية لأنظمة التشغيل الحديثة. 

ه٠‏ كيفية استخدام واجهة سطر الأوامر .(command-line interface)‏ 

٠‏ العمليات الأساسية للتنقل في نظام الملفات. 

٠‏ أذونات الملفات للمستخدمين والمجموعات. 

٠‏ إدارة حساب ا مستخدم. 


٠‏ إدارة البرمجيات. 


هيكلة نظام التشغيل: 

أنظمة تشغيل الحاسب الآلي هي برمجيات تدير مكونات أجهزة الحاسب الآلي وتوفر 
الخدمات العامة لتطبيقات المستخدم. وتتكون أنظمة التشغيل الحديثة من العديد من 
البرمجيات (أو العمليات) المنفصلة التي تعمل معا لتحقيق النتائج المطلوبة (الشكل -Y‏ 
مركزيا تمثل نواة نظام التشغيل (kernel)‏ البرنامج الذي يتحكم في مكونات الأجهزة 
وإدارة الذاكرة: وتنفيذ التعليمات البرمجية على وحدة ال معالجة ال مركزيةء وإخفاء التفاصيل 
الضمنية لقطع الأجهزة من تطبيقات المستخدم. ويسمح ذلك لمطوري البرامج بتجاهل 
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الفصل الثالث 


التفاصيل الضمنية لقطع الأجهزة عند تطوير التطبيقات مما يُسهم بشكل كبير في تبسيط 
تطوير التطبيقات. 
أما القشرة (shell)‏ فهي برنامج نصي يسمح للمستخدم بالتفاعل مباشرة مع نواة نظام 
التشغيل (kernel)‏ وتشمل العمليات العامة التي تقوم بها القشرة: تشغيل وإيقاف 
البرامجء والتحكم في تنفيذ البرامج» وبدء وإيقاف جهاز الحاسب الآلي. كما تقوم القشرة 
بإخفاء تعقيد نواة نظام التشغيل (kernel)‏ عن اللمستخدم. بحيث يستطيع ال مستخدم 
إدخال الأوامر بلغة إنجليزية واضحة ومن ثم الاعتماد على القشرة (shell)‏ لترجمة هذه 
الأوامر إلى الرمز الثناني حتى تقوم نواة نظام التشغيل (kernel)‏ بتنفيذها. 
الشكل :(V-Y)‏ هيكلة نظام التشغيل 
تطبيقات المُستخدم — User Applications‏ 


Shell القشرة‎ 


نواة نظام التشغيل 
Kernel‏ 


Device Drivers تشغيل الجهاز‎ qal 








قطع الجهاز Hardware‏ 








وبينما تقوم أنظمة التشغيل الرسوميةء كنظام تشغيل ويندونز بإخفاء القشرة (shell)‏ 
فإن أنظمة التشغيل المعتمدة على ينكس (Unix)‏ مثل لينكس (Linux)‏ وماك أو إس 
إكس (Mac OSX)‏ تقوم بتشغيل القشرة (shell)‏ تلقائياً عند بدء التشغيل. وهذه 
الق سمل مو خلف السعان بحيث تقوم بيده وإيقاق اراج استهابة عات gels‏ 
(GUI) nga pte a‏ ومكن stas gll Lol‏ إل هذه loge Bhd]‏ 535-3 
طرفية (terminal)‏ وهذه الوحدة الطرفية هي البيئة ا لمفضلة وا لملستخدمة من قبل 
مسؤولي النظم عند أداء مُعظم مهام إدارة النظام. وفي هذا الكتاب سيتم تنفيذ جميع 
مهام lo]‏ النظام باستخدام إطار الوحدة الطرفية في نظام التشغيل لينكس مالم يتم النص 
على خلاف ذلك. 
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إدارة النظام (الجزء الثاني) 


الجدول :(Y-Y)‏ برامج القشرة الشائعة 


قشرة بورن ا معيار الواقعي في ينكس حيث إن كل نظام 
Bourne)‏ تشغيل م تمد على ينكس لا يخلو من قشرة 
(Shell‏ واحدة على الأقل متوافقة مع قشرة بورن". 


تعتمد صياغة الأوامر على إحدى لغات 
البرمجة وهي لغة السي. هذه القشرة 
منتشرة في الاستخدام التفاعلي لكن لا ينصح 
باستخدامها كلغة برمجة نصية"". 


قشرة كورن متوافقة مع معيار الواجهة البينية لنظام 

(Korn Shell)‏ التشغيل القابل للحمل لنظام التشغيل 
اليونيكس (posix)‏ رقم ۲ ومتوافقة 
MERE‏ 
الميزات اللازمة للبرمجة النصية”. 


قشرة باش صُممت لتكون بديلاً مفتوح المصدر لقشرة 
Bourne-)‏ بورن. قشرة باش شائعة الاستخدام في البرمجة 
again‏ النصية والاستخدام التفاعلي لأنها تجمع بين 
(Shell-Bash‏ العديد من ميزات قشرة سي وقشرة كورن, 
كما تضيف العديد من التحسينات الخاصة 

Ou, 





ومثل بقية البرمجيات فإن القشرة (shell)‏ تطورت مع مرور الزمن. ويُقدم الجدول 
(Y-Y)‏ ممحة عامة عن أنواع القشرة المتاحة. وأكثر مسؤولي النظم يفضل قشرة باش Bash)‏ 
(shell‏ وهي القشرة ا مستخدمة في هذا الكتاب. 


(1) https://en.wikipedia.org/wiki/Unix. shell 
(Y) http://www.faqs.org/faqs/unix-faq/shell/csh-whynot/ 
(3) Rosenblatt, B. Learning the Korn Shell. (O'Reilly), 1993 


(4) http://www.gnu.org/software/bash/manual/bashref.html£What-is-Bash 003f 
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الفصل الثالث 


تشغيل القشرة في نظام الويندوز 


هناك العديد من الخيارات لتشغيل القشرة على نظام مايكروس وفت ويندوز. وم تتغير 
أوامر القشرة الرئيسية كثيرا في نظام الميكروسوفت منذ منتصف التسعينيات حيث يتم 
استخدام (COMMAND.COM)‏ أو «Lo (cmd.exe)‏ على إصدار ويندوز. وتقوم القشرة 
بتنفيذ الأوامر ودعم عدد قليل من الأدوات الأساسية لمعالجة نظام الملفات. وعلى الرغم من 
أن الإصدارات اللاحقة قد أضافت إمكانية الاتصال بالشبكة المحلية لنقل الملفات والإدارة عن 
بعد إلا أن قدرات القشرة بشكل عام تظل محدودة. 


يتضمن النظام الحديث من مايكروسوفت قثرة ولغة برمجة نصية بديلة تدعى ويندوز 
بورشل (Windows Powershell)‏ وتم تصميم بورشل ف المقام الأول للبرمجة النصيةء وتتميز 
ليها عن بقية أنواع القشرة بأنها لغة موجهة بالكائنات (object-oriented language)‏ يمكنها 


التفاعل مباشرة مع مكونات وتطبقات (NET.)‏ وأصبحت بورشل بشكل سريع لغة البرمجة 
النصية في ويندوزء كما أن العديد من التطبيقات الرئيسية الأخرىء Microsoft Exchange) Ji»‏ 
2٠‏ تعتمد عليها بشكل كبير". 


وبالإضافة إلى القشرة التي صممتها مايكروسوفت» فإن مطوري برمجيات المصادر المفتوحة 
قاموا بإعادة تكوين الكثير من بيئة نظام ينكس لتعمل في نظام ويندوز بما في ذلك الأنواع 
الشائعة لقشرة ينكس. وفي التسعينيات قد تم تطوير مشروع سيغوين (Cygwin project)‏ 
وذلك للسماح للبرامج التي تعمل على نظام ينكس أن تعمل أيضا على نظام ويندوز. وقد 
تطور المشروع إلى مجموعة من البرمجيات التي توفر بيئة مشابهة تماماً لبيئة ينكس ها في ذلك 
أوامر القشرة والبرامج الرسومية. وتعد قشرة باش هي القشرة الافتراضية في مشروع سيغوين 
(Cygwin project)‏ لكن عمليا جميع الأنواع الشائعة للقشرة وال مستخدمة في توزيع لينكس 
متوفرة من خلال مُثبت سيغوين. 





واجهة سطر الأوامر :(command-line interface)‏ 


قبل الشروع في مهام إدارة النظام نستعرض في هذا القسم واجهة سطر الأوامر وأساسيات 
استخدام هذه الواجهة (الشكل „(Y-Y‏ 


(5) http://technet.microsoft.com/en-us/library/bb978526.aspx 


(6) http://social.technet.microsoft.com/wiki/contents/articles/exchange-2010-powershell-scripting-resources.aspx 
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إدارة النظام (الجزء الثاني) 


:(The Bash prompt) موجه باش‎ 


لتشغيل الوحدة الطرفية في إصدار سينتوس (CentOS Linux) (4 $5J‏ المتوفر مع 
هذا الكتاب» افتح لوحة أدوات النظام (System Tools)‏ الموجودة تحت قائمة التطبيقات 
(Applications)‏ كما هو موضح في الشكل (Y-Y)‏ وعند فتح نافذة الوحدة الطرفية سترى 
موجه من قشرة باش. ويعد موجه باش نقطة الدخول لجميع الأوامر التي تكتبهاء كما 
يمكن أن يقدم موجه باش معلومات حول الحساب والخادم الذي تستخدمه والبيئة التي 
يعمل فيها باش. liag‏ مثال تقليدي على موجه باش: 


[alice2sunshine 1515 

الملفات والأدلة: 

يتم تنظيم ا ملفات والأدلة في جميع أنظمة التشغيل في هيكلة هرمية. وف نظام 
يونيكس يتم فصل كل «dido»‏ من التسلسل الهرمي بخط مائل (/). ويُشار إلى قمة الهرم 
ب «جذر نظام الملفات» ويتم تمثيلها بخط مائل واحد. ومن الممكن أن يحتوي كل JJ»‏ 
على ملفات أو أدلة فرعية أو مزيج من الاثنين معا (الشكل (Y-Y‏ 

وفي التسلسل الهرمي يُشار إلى مكان الملف أو الدليل مساره» وهناك طريقتان للتعبير 
عن مسار الملف كما هو موضح في الجدول (7-7). 
الشكل :(Y-Y)‏ الوصول إلى نافذة موجه الأوامر 


a™ | Places System © mo E 


(SR Accessories 











25. Games 
275 Graphics 
«D internet 


BH! office 


CEYN 






FE Sound & video 





@ Automatic Bug Reporting Tool 










^» CD/DVD Creator 






“®? Disk Usage Analyzer 
—— Disk Utility 





[gg] File Browser 

EE System Monitor 

L3 
Use the command line 
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الفصل الثالث 


b 


الشكل (7-7): التسلسل الهرمي للملفات في نظام 


>| etc /home/bob/sample/file2.txt 
alice X 
5 


1 c file2.txt 

/ 4| home لح‎ 
i f ١ 

$ + | sample —9 file1.txt 

~> EF س‎ 


N 
1 
5 pon. 
pon | 
/home/bob/hello.txt 


الجدول :(Y-Y)‏ تحديد مسار املف 








home/bob/hello.txt/etc/‏ | امسار المطلق هو المكان المحدد للملف الذي 
تتم الإشارة إليه. ويشمل كل دليل فوق الدليل 


الحالي حتى الوصول إلى جذر نظام الملفات. 


sample/file2.txt‏ المسار النسبى يحدد مكان ال ملف بالنسبة إلى 
hello.txt‏ الدليل الحالي. 
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إدارة النظام (الجزء الثاني) 


الحساسية لحالة الأحرف 
يمكن القول إن جميع ملفات ينكس هي ملفات حساسة لحالة الأحرف فملف (hello.txt)‏ 
يختلف عن ملف (HELLO.TXT)‏ واستثناءً لهذه القاعدة فإن نظام ا ملفات الافتراضي ا مستخدم 


في نظام ماك أو إس إكس (-HFS)‏ يعد غير حساس لحالة الأحرف. ففي نظام ماك أو إس إكس 
(Mac OSX)‏ سيتم اعتبار ملف (hello.txt)‏ وملف (HELLO.TXT)‏ على أنهما ا ملف نفسه. 
ولهذا السبب من الضروري التحقق من التعارض المحتمل ف أسماء الملفات» وذلك عند نسخ الملفات 
من نظام حساس لحالة الأحرف إلى نظام ملفات غير حساس لحالة الأحرف. 





التنقل في نظام الملفات - الأوامر ((pwd«cd)‏ 
أول شيء تحتاج لمعرفته هو موقعك الحالي في نظام الملفات» ويقوم أمر (Pwd)‏ بهذه 
المهمة حيث EE‏ هذا الأمر طباعة الدليل الحالي (print working directory)‏ ويقوم 
بإرجاع امسار المطلق للدليل الذي تتواجد فيه حاليا. وعند تسجيلك الدخول على نظام 
ينكس أو عند فتح نافذة وحدة طرفية» سيكون موقعك عادة في الدليل الرئيسي. وفي نظام 
ينكس يعد الدليل الرئيسي مكانك الخاص وهو مشابه لمجلد المستندات في نظام ويندوز. 
[alice? sunshine ~]$ pwd‏ 
/home/alice‏ 
وللانتقال إلى دليل آخر يمكنك استخدام أمر (cd)‏ وهو الأمر الخاص بتغيير الدليل والذي 
يسمح بالتبديل إلى دليل آخر. ويتم تحديد اسم المجلد ا مستهدف كمعامل للأمر. 
[alicegsunshine -]$ cd /usr‏ 
[alice sunshine usr]$ pwd‏ 
/usr‏ 
وهكذا فإن الأمر (cd /usr)‏ قد أخذنا إلى مجلد (usr/)‏ وفي هذه الحالة تم استخدام 
امسار المطلق للدليل. وبالإمكان أيضا استخدام المسار النسبي. 


أمن المعلومات وإدارة مخاطر تقنية المعلومات 1۷ 


الفصل الثالث 


[alice8sunshine usr]$ cd bin 
[alice sunshine bin]$ pwd 
/usr/bin 


ماذا عن الصعود إلى أعلى التسلسل الهرمي؟ وبعبارة أخرى كيف يتم الانتقال من 
(usr/bin/)‏ إلى .(usr/)‏ بالإمكان استخدام طريقة المسار المطلق الموضحة أعلاهء ولكن 
هناك طريقة أخرى. الدليل (Parent Directory) I‏ هو الدليل الذي b‏ مباشرة بعد 
الدليل الحالي في التسلسل الهرمي» ويتم تمثيله بنقطتين (..). 


[alice? sunshine bin]$ pwd 
[usr/bin 

[alice?sunshine bin]$ cd .. 
[alice? sunshine usr]$ pwd 


/usr 
وهذا لن يكون عملياً عند تغبير‎ d.) وبا مثل فإن الدليل الحالي يتم تمثيله بنقطة واحدة‎ 
سيوجه القشرة لتغيير الأدلة إلى الدليل الحالي (أي بعبارة أخرى عدم‎ (cd) الأدلة لأن الأمر‎ 
فعل أي شيء). لكنه سيكون مفيدا مع بعض الأوامر الأخرى التي سنتعلمها.‎ 


سَرد الملفات والأدلة: 
لسَّرد محتويات الدليل الحالي استخدم الأمر (Is).‏ 
[alice?sunshine usr]$ cd /home/alice‏ 
[alicegsunshine ~]$ Is‏ 
Desktop Documents Downloads hello.txt Music Pictures Public‏ 


Templates Videos 


MA‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


إدارة النظام (الجزء الثاني) 


ووفقاً لإصدار وضبط نظام التشغيل الذي تستخدمه قد تظهر النتائج في ألوان متعددة 
لتمثل الأنواع المختلفة من الملفات والأدلة المعروضة. (وفي هذه الحالة فإن العناصر باللون 
الأزرق تمثل الأدلةء وتلك التي باللون الأسود تمثل الملفات). ولأن هذه الألوان قد تختلف من 
إصدار نظام تشغيل إلى اصدار آخر فمن الأفضل عدم الاعتماد عليها. وهناك وضع «JoJo‏ أو 
مفتاح يمكن تمريره لأمر (I)‏ من أجل عرض النتائج في شكل موحدء وهذا المفتاح هو (F-)‏ 
[alice8sunshine ~]$ Is -F‏ 


Desktop/ Documents/ Downloads/ hello.txt Music/ Pictures/ 


Public/ Templates/ Videos/ 
بإضافة خط مائل )/( لكل دليل. ويمكنك الآن التمييز بسهولة بين‎ (Is -F) ويقوم الأمر‎ 
يقوم افتراضياً بعرض الملفات المخفية في الدليل. وثعد‎ Y (ls) الملفات والأدلة. لكن الأمر‎ 
جميع الملفات و/أو الأدلة التي تبدأ أسماؤها بنقطة (.) ملفات مخفية. وال ملفات المخفية‎ 
في ذلك‎ Le هي الملفات التي يتم افتراضياً إخفاؤها عن ا مستخدمين. ولعرض جميع الملفات‎ 
(a) الملفات المخفية يتوجب استخدام مفتاح‎ 


[alice8sunshine ~]$ ls -aF 

i .bash_logout Desktop/ hello.txt Public/ 

jd .bash profile Documents/ Music/ — Templates/ 
.bash history .bashrc Downloads/ Pictures/ Videos/ 


وكما ترى فإن العديد من الملفات المخفية .bash. history, .bash logout)‏ وغيرها) 
أصبحت غير مخفية الآن. وكذلك فإن اثنين من إدخالات الأدلة / «(current directory)‏ 
و/ (parent directory)‏ أصبحت غير مخفية الآن. وما أن جميع الأدلة في نظام ينكس 
تنتمي إلى إدخالات الدليل الحالي وتنتمي كذلك إلى دليل الأم سيكون هناك Ulo‏ اثنين على 
الأقل من ادخالات الأدلة ال لمخفية في كل دليل. 


أمن المعلومات وإدارة مخاطر تقنية ال معلومات MS‏ 


الفصل الثالث 


عند فحص النظام انتبه للملفات المخفية حيث يستخدم المهاجمون خدعة شائعة وهي تمويه 
الدليل الذي يحتوي على أدوات الهجوم» وذلك بإعادة تسمية الدليل بثلاث نقاط (...) وهذه 
طريقة فعالة للاختفاء عن الرؤية العادية. ومن السهل جدا أن تنطلي عليك هذه الخدعة إلا là]‏ 


[alice&sunshine compromised]$ Is -aF 
ل‎ .4 | Documents/ hello.txt Pictures/ Templates/ 


./ Desktop/ Downloads/ Music/ Public/ Videos/ 





امتدادات القشرة: 
الامتدادات هي رموز خاصة أو مقاطع تستخدمها القشرة لبناء قائمة الملفات أو الأدلة, 
والتي تعمل على أساسها الأوامر. وهناك العديد من الأنواع المختلفة للامتدادات المعروفة 
في قشرة باش. 
امتداد المذة :(Tilde)‏ 
والمقصود بامتداد المدّة (~) في قشرة باش هو الدليل الرئيسي للمستخدم 
[alice?sunshine Expansion]$ cd ~‏ 
[alice2sunshine ~]$ pwd‏ 
/home/alice‏ 


وإذا وضعت اسم المستخدم بعد المدّة فإن قشرة باش تشير إلى موقع الدليل الرئيسي 
الخاص بهذا المستخدم. ولن تتمكن من استخدام الأمر (ed)‏ في الدليل الرئيسي لهذا 
المستخدم إلا إذا منحك هذا المستخدم الإذن للقيام بذلك» وهذا مثال على استخدام هذا 
النوع من الامتداد. 


[alice? sunshine Expansion]$ cd -bob 


Ww.‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


إدارة النظام (الجزء الثاني) 


[alice2sunshine ~]$ pwd 
/home/bob 


امتداد اسم الملف - رموز البدل :(wildcards)‏ 


لتسهيل إدخال الأوامر تقدم قشرة باش بعضا من رموز البدل الموضحة في الجدول 
(Y-Y)‏ ورموز البدل المتوفرة هي: dago‏ و *. وتقوم قشرة باش بتوسيع الكلمات التي 
تحتوي على هذه الرموز عن طريق استبدال الكلمة بقائمة من الملفات أو الأدلة التي تتفق 
مع عامل التصفية الذي أنشأه رمز البدل. 


[alice? sunshine - [5 cd /opt/book/system-admin/shell expansion 
[alice?sunshine shell expansion]$ 5 
goodbye.doc heap.txt helicopter.txt hello.doc hello.txt help.txt 
[alice? sunshine shell expansion]$ 15 *.doc 
goodbye.doc hello.doc 
[alice? sunshine shell expansion]$ Is he?p.txt 
heap.txt help.txt 
إدارة الملفات:‎ 
تعلمت سابقاً كيفية التنقل في نظام الملفات» وستتعلم الآن كيف تُجري تعديلات على‎ 
الملفات والمجلدات.‎ 
إنشاء وحذف الأدلة:‎ 
(rmdir) والأمر‎ (mkdir) لإنشاء وحذف الأدلة نستخدم الأمر‎ 
[alice@sunshine ~]$ cd /opt/book/system-admin/work 


[alice? sunshine work]$ mkdir new directory 


أمن المعلومات وإدارة مخاطر تقنية المعلومات WA‏ 


الفصل الثالث 


(alice? sunshine work]$ 15 -aF 

new. directory/‏ /.. ل 

[alice?sunshine work]$ rmdir new directory/ 
[alice2 sunshine work]$ 15 -aF 


ud 


يعمل الأمر (rmdir)‏ فقط في الأدلة الفارغة. وستصلك رسالة بحدوث خطأ عندك محاولتك تشغيل 


هذا الأمر على دليل يحتوي ملفات و/أو مجلدات. 





الجدول (۳-۳): رموز البدل في قشرة باش 


يقوم هذا الرمز بمطابقة رمز واحد (re?d)‏ تطابق (read)s (reed) (red)‏ 
أو لا رمز بكل الرموز لكنها لا تطابق (reads)‏ 


يحتوي هذا الرمز على قائمة أو (re[a,e]d)‏ تطابق «read)s (reed)‏ 


مجال من الحروف/الأرقام التي | لكنها لا تطابق (red)‏ 


يقوم هذا الرمز بمطابقة رمز واحد (*re)‏ تطابق (read)s .(reed)s (red)‏ 
أو أكثر بكل الرموز 





نسخ ونقل الملفات: 

لنسخ الملفات استخدم الأمر dep)‏ ولنقل الملفات من مجلد إلى آخر استخدم الأمر 
(mv)‏ ولتغيير اسم ال ملف انقله فقط من اسم املف القديم إلى اسم الملف الجديد. 
وتكون الصياغة كالتالي: «cmd» «source» «target».‏ 


۱۲ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


إدارة النظام (الجزء الثاني) 


[alice2sunshine work]$ cp ../shell expansion/hello.txt hello world.txt 
[alice2 sunshine work]$ 15 -aF 

hello world.txt‏ /.. ل 

[alice8sunshine work]$ mv hello. world.txt HELLOWORLD.TXT 
[alice2 sunshine work]$ 15 -aF 

./ .| HELLOWORLD.TXT 


واضافة مفتاح (r-)‏ (التكرارية) تسمح (cp) E‏ أن يعمل مع الأدلة ومع A eua‏ 
أما الأمر (mv)‏ فهو يعمل بشكل تكراري دائما. والتكرارية هي تحديد وظيفة اعتماداً على 
ما تقوم به تلك الوظيفة. 


[alice8sunshine work]$ cd ~ 

[alice8sunshine -]$ Is -F 

Desktop/ Documents/ Music/ Pictures/ Public/ Videos/ 
[alice?sunshine -]$ cp -r Documents/ Documents-copy 
[alice8sunshine -]$ Is -F 

Desktop/ Documents/ Documents-copy/ Music/ Pictures/ Public/ Videos/ 
[alice?sunshine ~]$ mv Documents-copy Documents-moved 
[alicegsunshine ~]$ Is -F 

Desktop/ Documents/ Documents-moved/ Music/ Pictures/ Public/ Videos/ 
[alice?sunshine ~]$ Is -aF Documents 

notes.xt readme sample file.mpY‏ /.. ل 

[alice sunshine alice]$ Is -aF Documents-moved/ 


. ../ notes.xt readme sample file. mpY 


أمن المعلومات وإدارة مخاطر تقنية المعلومات wv‏ 


الفصل الثالث 


وكما ترى فإنه تم أولاً نسخ LJ‏ ملف المستندات (/Documents)‏ بجميع محتوياته 
إلى الدليل (/Documents-copy)‏ ومن ثم تم نقله إلى الاسم الجديد Documents-)‏ 
5.4 وتم تغيير اسم الدليل لكن المحتويات م تتأثر بذلك. 
حذف الملفات: 
لحذف الملفات استخدم الأمر (rm).‏ 
[alice?sunshine ~]$ cd Documents-moved/‏ 
[alice sunshine Documents-moved]$ 15 -aF‏ 
notes.txt readme sample file.mp3‏ /.. /. 
[alice sunshine Documents-moved]$ rm notes.txt‏ 
[alice sunshine Documents-moved]$ 15 -aF‏ 


/ ./ readme sample file.mp3 


وللمساعدة في منع الحذف غير المقصود للبيانات قم باستخدام مفتاح (i-)‏ مع الأوامر cp)‏ و 


.(rm)g (mv)‏ وسيُطلب منك التأكيد قبل حذف الملفات والتأكيد قبل نسخ/ نقل ملف يتطلب 





[alice2sunshine Documents-moved]$ rm -i readme 

rm: remove regular file ‘readme’? n 

[alice8sunshine Documents-moved]$ cp -i sample file.mp3 readme 
cp: overwrite ‘readme’? n 

[alice sunshine Documents-moved]$ 15 -aF 


. ../ readme sample file.mp3 


WE‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


إدارة النظام (الجزء الثاني) 


الحذف التكراري: 

كما هو الحال مع أمر (cp)‏ فإن المفتاح التكراري Sce (r-)‏ استخدامه مع الأمر (rm)‏ 
لحذف الأدلة. لكن استخدام المفتاح التكراري مع الأمر (rm)‏ رها يكون أكثر خطورة لأن 
(rm-r)‏ تعمل أولا بحذف كل ملف في الدليل ثم تقوم بحذف الدليل نفسه. وينبغي أن 
يكون احتمال وقوع كارثة واضح هنا. Ul»‏ افحص وراجع المسار الذي قمت بإدخاله عند 


(rm-r) استخدامك‎ 
[alice?sunshine -]$ Is -F 
Desktop/ Documents/ Documents-moved/ Music/ Pictures/ Public/ Videos/ 
[alice2 sunshine ~]$ rm -r Documents-moved/ 
[alice sunshine ~]$ 1s -F 


Desktop/ Documents/ Music/ Pictures/ Public/ Videos/ 


عرض الملفات: 
حتى الآن يمكنك أن تعرف مكانك في ملف النظام وأن تنقل الأشياء من حولك وأن تغير 
مالكهاء لكن كيف يمكنك معرفة ما بداخل الملف؟ الغالبية العظمي من الملفات على خادم 
لينكس هي ملفات نصية لذا يمكن عرضها باستخدام عدد قليل من الأوامر البسيطة. 
الأمر (LESS)‏ 
يسمح لك الأمر (less)‏ بعرض المملفات النصية على الشاشة دفعة واحدة. 
[alice sunshine - [5 less /usr/share/doc/openssl-1.0.0/FAQ‏ 


ويوضح الجدول etat (E-F)‏ التي يمكنك استخدامها للتنقل والبحث في ال ملف. وعند 
استخدام هذا الأمر سيتم تظليل مصطلح البحث» وسوف ينتقل املف إلى الأسفل حتى أول 
ظهور لمصطلح البحث والذي سيظهر laf‏ في أعلى وحدتك الطرفية. 


أمن المعلومات وإدارة مخاطر تقنية المعلومات wo‏ 


الفصل الثالث 


الأوامر (HEAD)‏ و :(TAIL)‏ 
إذا كنت بحاجة فقط لرؤية بضعة أسطر من بداية أو نهاية الملف. استخدم (head)‏ 
و (tail)‏ ويتحكم المفتاح  (n-)‏ عدد الأسطر التي سيتم عرضها حيث إن عدد الأسطر 
الافتراضي عشرة أسطر. 
[alice sunshine ~]$ head /etc/passwd‏ 
root:x:0:0:root:/root:/bin/bash‏ 
bin:x:l:L:bin:/bin:/sbin/nologin‏ 
daemon:x:2:2:daemon:/sbin:/sbin/nologin‏ 
adm:x:3:4:adm:/var/adm:/sbin/nologin‏ 


Ip:x:4:7:lp:/var/spool/Ipd:/sbin/nologin 


الجدول :)٤-١(‏ الاختصارات الشائع استخدامها بلوحة المفاتيح (وتستخدم أيضاً مع الأمر (less‏ 
rm‏ 
"m‏ 


انتقل شاشة كاملة إلى الأمام 


انتقل شاشة كاملة إلى الخلف 


ع ا اوو 





ا م اس ST‏ 
ا لقا د انك E‏ 


انتقل بال ملف إلى حدوث التوافق القادم 


TTT قات‎ 





wI‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


إدارة النظام (الجزء الثاني) 


ملاحظة: بعض هذه الاختصارات تم ترحيلها إلى البريد الإلكتروني (Gmail)‏ مثلاً أثناء 
قراءة البريد الإلكتروني فإن الأمر (typing)‏ سينقل المؤشر إلى مربع البحث". 

sync:x:5:0:sync:/sbin:/bin/sync 
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown 
halt:x:7:0:halt:/sbin:/sbin/halt 
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin 
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin 
[alice@sunshine ~]$ tail -n5 /etc/group 
sales grp:x:504: 
engineering grp:x:505: 
marketing grp:x:506: 
eric:x:507: 


accounting grp:x:508: 


البحث عن الملفات: 
يحتوي خادم لينكس القياسي على آلاف الملفات, والبحث عن ملف واحد بالتحديد 
يبدو كالبحث عن إبرة في كومة قش. ولكن يوجد أداة بحث قوية جدا للمساعدة في هذا 
الموضوع وهي الأمر (find)‏ وفي أبسط أشكله يأخذ هذا الأمر شكلين رئيسين: الدليل 
الذي يجب بدء البحث منه»ء واسم ا ملف الذي تبحث عنه. وهنا مثال عن البحث عن ملف 
ضبط أباتشي (Apache)‏ (خادم الشبكة): 
[alice sunshine ~]$ find /etc -name httpd.conf‏ 
letc/httpd/conf/httpd.conf‏ 
http://support.google.com/mail/bin/answer.py?hl = en&answer = 6594‏ )7( 


أمن المعلومات وإدارة مخاطر تقنية المعلومات WV‏ 





الفصل الثالث 


وكما تلاحظ فإن الأمر (find)‏ يستخدم صياغة تختلف عن صياغة بقية الأوامر السابقة 
والتي عملنا عليها حتى الآن إذ إن مفتاح الأمر يتبع اسم الأمر في جميع تلك الأوامر. لكن 
مع الأمر (find)‏ فإن الطريقة تختلف حيث b‏ مفتاح (name-)‏ بعد العنصر الأول (/). 
ويشير كتيب إرشادات الأمر (find)‏ إلى أن età‏ التالي (name httpd.conf-)‏ هو جزء 
من (find) Vl‏ كما يعد هذا المفتاح بأنه مصطلح (Expression)‏ وهناك العديد من 
العوامل التي يمكن استخدامها على أنها مصطلح (user-) Jio‏ (والذي يقوم بإيجاد الملفات 
التابعة لحساب محدد). أو (empty-)‏ (والذي يقوم بإيجاد الملفات الفارغة). ويمكن أيضاً 
دمج مصطلحات متعددة لتضييق نتائج البحث: 

[alice@sunshine ~]$ find /opt -user alice -empty 


/opt/book/system-admin/my_file.txt 


التحكم في الوصول وإدارة المستخدم: 
الأذونات: 


يتحكم نظام لينكس ومعظم أنظمة التشغيل المعتمدة على ينكس في الوصول إلى 
ا ملفات من خلال آليتين: أذونات الملفات» وقوائم التحكم في الوصول. أذونات الملفات 
هي الطريقة التقليدية للتحكم في الوصول إلى الملفات والتي تم استخدامها منذ الأيام الأولى 
لنظام ينكس. وهذه الأذونات مدعومة بشكل كامل من أوامر القشرة. كما أنها تعمل 
بثبات مع أنظمة التشغيل المختلفة. أما قوائم التحكم في الوصول فهي أكثر حداثة وأكثر 
دقة في ضبط التحكم حيث تتحكم في الذين يمكنهم الوصول إلى الملفات, وتتحكم أيضاً فيما 
يمكنهم القيام بعمله في هذه الملفات. ولسوء الحظ هناك توحيد متواضع لتطبيقات قوائم 
التحكم في الوصول في أنظمة التشغيل المختلفة» كما أن هناك أدوات دعم محدودة. لذلك 
يتم عادة تفضيل أذونات ال ملفات أكثر من قوائم التحكم في الوصول. وسوف نستعرض 
هاتين الآليتين مع التركيز Cal‏ على أذونات الملفات, لكن سنشرح فوائد الميزات الإضافية 
لقوائم التحكم في الوصول. 


WA‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


إدارة النظام (الجزء الثاني) 


أمر (LS)‏ مرة أخرى: 
استخدم مفتاح (-1) مع أمر (Is)‏ لعرض أذونات املف الحالية حيث يقوم هذا المفتاح 
بعرض قوائم الدليل في الهيئة المطولة المقسمة إلى سبعة أعمدة. ويوضح الجدول (0-7) 
وصف الأعمدة في قوائم الملفات المطولة. 
[alice?sunshine -[5 cd /home/shared‏ 
(alice? sunshine shared]$ Is -IaF‏ 
total 56‏ 
drwxr-xr-x. 5 root root 4096 Jan 29 2012 ./‏ 
drwxr-xr-x. 12 root root 36864 Feb 15 19:57 ../‏ 
drwxr-xr-x. 6 root root 4096 Jan 29 2012 academic_affairs/‏ 
drwxr-xr-x. 5 root root 4096 Jan 29 2012 business finance/‏ 


drwxr-xr-x. 2rootlegal grp 4096 Jan 29 2012 legal/ 


الجدول :(0-Y)‏ وصف الأعمدة في قوائم ال ملفات المطولة 


-xr- ١ 
: 
: 
t 
1 


| dnmewx | أننناتاطفات/لاة_‎ | ١ | 
[v | ^ owwa عند‎ — | + | 
[omo | ملكية امستخدم للملفاالىليل‎ | ۲ | 
| engineering grp | ملكيةالمجموعةللملف/الدلي__‎ O © | 
حجم املف /الدليل بابايت‎ O | o | 
| monens | تعديلالطيعاليس_‎ | ١ | 





أمن المعلومات وإدارة مخاطر تقنية ا معلومات WS‏ 


الفصل الثالث 


التدوين الرمزي: 

الآن سنلقي نظرة فاحصة على أذونات الملفات/الأدلة في العمود الأول. ويقدم الأمر (1- (Is‏ 
أذونات املف بالتدوين الرمزي". وللمزيد من الأمثلة انظر الجدول V-Y)‏ 

الرمز الأول يشير إلى نوع الملف: 

d Directory‏ دليل 

Regular file -‏ ملف عادي 

b Block/special file‏ رزمة/ ملف خاص 

c Character/special file‏ )34 / ملف خاص 

($55) رابط‎ 1 Symbolic link 

p Named pipe‏ انبوبة اتصال مسماة 

s Socket‏ القابس 

وتم تقسيم الرموز التسعة التالية إلى ثلاث مجموعات وكل مجموعة تتكون من BW‏ 
رموز: 

.١‏ ما يستطيع أن يفعله ا مالك 

.Y‏ ما يستطيع أن يفعله أعضاء المجموعة امالكين للملف 

.Y‏ ما يستطيع جميع المستخدمين (العام) فعله 

وتم توزيع كل مجموعة في ثلاثة أعمدة: 

r- Read‏ قراءة 

w- Write‏ كتابة 

J4À3 x- eXecute 


(8) http://en.wikipedia.org/wiki/Filesystem permissions?Symbolic notation 


we‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 





إدارة النظام (الجزء الثاني) 


وبالإضافة إلى التنفيذ فإن العمود الثالث Jig‏ أيضاً مواصفات خاصة يمكن تطبيقها على 
ا ملف: 

Jas (s - setuid/setgid)‏ من استخدام أذونات المستخدم لتنفيذ الملف. فإن هذا 
ا ملف سيعمل وكأنه (setuid) UUI‏ أو كأنه المجموعة Flo (setgid)‏ على ما يتم تحديده 
في هذا الأمر. 

(T - sticky bit)‏ عند ضبط هذه الخاصية في الدليل» فإن أي مستخدم لديه صلاحية 
الكتابة يمكنه إنشاء ملفات في هذا الدليلء لكن امالك فقط يستطيع نقل أو حذف تلك الملفات. 


الترميز الثمانى: 

وبالإضافة إلى التدوين الرمزي فإن بعض الأوامر تستخدم الترميز الثماني لتمثيل أذونات 
الملفات. ويتكون الترميز الثماني من ثلاثة أرقام (ثمانيّة (o4 LI‏ كل منها Jie‏ جزءا من 
الأذونات: المستخدم» والمجموعة, والعام. وتم احتساب القيم بإضافة ثلاثة بتات (bits)‏ 
ثمانيّة (انظر الجدول "-5). 


الجدول :C-Y)‏ الترميز الثماني 





r‏ قراءة/كتابة /تنفيذ 


أمن المعلومات وإدارة مخاطر تقنية المعلومات WA‏ 


الفصل الثالث 


الجدول :(V-Y)‏ أمثلة على أذونات الملفات 


دليل بأذونات قراءة/ كتابة/ تنفيذ للمالك» وأذونات قراءة/ تنفيذ 


للمجموعة وللعام 


ملف عادي بأذونات قراءة/ كتابة للمالك. وأذونات قراءة 
للمجموعة؛ وبدون أذونات للعام 





)٠٠١ تضيف > إلى مجموع (ثنا:‎ (read bit) بت القراءة‎ .١ 
(1۰ (ثنائي:‎ Y تضيف‎ (write bit) بت الكتابة‎ .Y 


(<١ i3) ١ تضيف‎ (execute bit) بت التنفيذ‎ .Y 


تغيير الأذونات: 

يُستخدم الأمر (chmod).‏ لتغيير أذونات CALLE‏ أو الدليل» حيث يستخدم هذا 
الأمر الترميز الثماني عند إدخال الأذونات. وفي المثال القادم سنقوم بتغيير أذونات 
الدليل (home/shared/legal/)‏ لإعطاء مالك الدليل أذونات بالقراءة والكتابة والتنفيذى 
وإعطاء JS‏ شخص في مجموعة (legal grp)‏ أذونات بالقراءة والكتابة والتنفيذء وإعطاء 
كل شخص آخر أذونات بالقراءة والتنفيذ. 

العديد من الأوامر التالية يجب تشغيلها بامتيازات مستخدم ذو صلاحيات كاملة. واسم 


المستخدم للحساب ذو الصلاحيات الكاملة هو (root)‏ وهو من أقوى الأسماء الإدارية في أنظمة 
التشغيل المعتمدة على نظام ينكس. ويتمكن المستخدم ذو الصلاحيات الكاملة من عرض 


وتعديل وحذف أي ملف à‏ النظام. ويجب أن يتم الوصول لحساب ال مستخدم ذي الصلاحيات 
الكاملة بحذر شديد. وسنناقش فيما بعد كيف يتم مشاركة بعض من هذه الامتيازات مع 
حسابات مستخدمين آخرين. لكن الآن سنقوم بتحويل حسابات المستخدمين باستخدام الأمر 
(su)‏ وكذلك استخدام الحساب ذو الصلاحيات الكاملة. 





[alice?sunshine shared]$ su - 
Password: thisisasecret 


[root&'sunshine ~]# 


wy‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


إدارة النظام (الجزء الثاني) 


لاحظ أن موجه الأوامر قد تغير حيث يظهر اسم المستخدم الحالي (root)‏ وعلامة 
الدولار )$( تم استبدالها برمز المربع (#). ويتم استخدام علامة المربع موجه الأوامر الخاص 
ب (root)‏ في كثير من أنظمة التشغيل والعديد من أنواع القشرة. لذا عندما تراها LY‏ 
أن تكون حذراً للغاية مع الأوامر التي تكتبها لأن أي خطأ بسيط ممكن أن يكون كارثياً 
خصوصا عند استخدام الحساب ذي الصلاحيات الكاملة. 

[root?sunshine ~]# [cd /home/shared 

[root?sunshine shared] [Is -laF 

total 56 

drwxr-xr-x. 5 root root 4096 Jan 29 2012 ./ 

drwxr-xr-x. 12 root root 36864 Feb 15 19:57 ../ 

drwxr-xr-x. 6 root root 4096 Jan 29 2012 academic affairs/ 

drwxr-xr-x. 5 root root 4096 Jan 29 2012 business finance/ 

drwxr-xr-x. 2rootlegal grp 4096 Jan 29 2012 legal/ 

-rw-r--r-- 1 root root 3969 May 29 10:20 README 

[root? sunshine shared]? [chmod 775 legal 

[root?sunshine shared] [Is -laF 

total 56 

drwxr-xr-x. 5 root root 4096 Jan 29 2012 ./ 

drwxr-xr-x. 12 root root 36864 Feb 15 19:57 ../ 

drwxr-xr-x. 6 root root 4096 Jan 29 2012 academic affairs/ 

drwxr-xr-x. 5 root root 4096 Jan 29 2012 business finance/ 

drwxrwxr-x. 2rootlegal grp 4096 Jan 29 2012 legal/ 


-rw-r--r-- 1 root root 3969 May 29 10:20 README 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات wy‏ 


الفصل الثالث 


الآن تم تغيير الأذونات على دليل (legal)‏ من (drwxr-xr-x)‏ إلى (drwxr-wxr-x)‏ 


وبعبارة أخرى تم إضافة إذن الكتابة في هذا الدليل إلى ا مجموعة. 


قوائم التحكم في الوصول: 


تتميز الأذونات الموحدة في ملف ينكس بالقوةء لكن نقطة ضعفها الوحيدة أنه كل 


ملف هكن أن هلكه مستخدم واحد ومجموعة في الوقت نفسه. إذا كان لديك العديد 
من الأشخاص الذين يحتاجون لمستويات مختلفة من الوصول طملف معين فإن أذونات 
ملف ينكس لن تكون كافية. عندها يجب الاستفادة من (قوائم التحكم في الوصول) 
والموجودة في معظم أنظمة تشغيل ينكس الحديثة. ونوضح ذلك مثال: لنقل إنك تريد 
أن تسمح لاثنين من المستخدمين بوصول القراءة والكتابة CAL,‏ ماء وفي الوقت ذاته تريد 
أن تسمح لمجموعة منفصلة بوصول القراءة فقطء بينما بقية المستخدمين يجب ألا يسمح 
لهم بالوصول لهذا الملف. وهذا لن يكون ممكناً باستخدام أذونات الملف الموحدة. لكنه 
سيكون سهلا باستخدام أمر (setfacl)‏ 


we 


[root&sunshine ~]# cd /opt/book/system-admin/access control 
[root?sunshine access control]£ Is -IaF 

total 52 

drwxr-xr-x 5 root root 4096 Jan 29 2012 ./ 

drwxr-xr-x 12 root root — 36864 Feb 15 19:57 ../ 

-rw-r--r-- lrootroot 43836 May 29 10:06 document.txt 
[root?sunshine access control]|£ chmod 600 document.txt 
[root?sunshine access control]? ls -IaF document.txt 
-IW------- 1 root root 43836 May 29 10:06 document.txt 


[root& sunshine access, control]£ setfacl -m u:alice:xrw document.txt 


أمن المعلومات وإدارة مخاطر تقنية المعلومات 


إدارة النظام (الجزء الثاني) 


] 1006© sunshine access. control]£ setfacl -m u:bob:rw document.txt 
[root?sunshine access control]£ setfacl -m g:legal grp:r document.txt 


[root?sunshine access control]? setfacl -m o-: document.txt 
معاملين: الأول يقوم بتطبيق (قوائم التحكم في الوصول)ء‎ (setfacl -m) ويأخذ الأمر‎ 
والثاني هو الملف الذي يجب تطبيق (قوائم التحكم في الوصول) عليه. والإدخال مقسم‎ 
إلى ثلاثة حقول مفصولة بعلامة النقطتين (:). الحقل الأول يشير إلى نوع الإدخال في قائمة‎ 
التحكم في الوصول:‎ 
مستخدم- تعديل الوصول للملف لممستخدم واحد‎ -Useru 
تعديل الوصول للملف لمجموعة من ال مستخدمين‎ - 85 
20ح تعديل الوصول للملف لجميع المستخدمين الذين م يتم منحهم حق الوصل‎ 
الوصول للمس: خدم أو للم جموعة‎ à من خلال قائمة | لتحكم‎ 
الحقل الثاني يحدد الذين تنطبق عليهم (قانمة التحكم في الوصول). في حالة قائمة‎ 
التحكم في الوصول للمستخدم أو للمجموعة» فإن هذا الحقل سيكون اسم المستخدم أو‎ 
(others) الوصول على الآخرين‎ à ال مجموعة على التوالي. 39( حالة تطبيق قائمة التحكم‎ 
فإن هذا الحقل سيكون فارغا.‎ 
الحقل الثالث يحتوي على قائمة الأذونات التي يجب أن تمنح من خلال قائمة‎ ob وأخيراً‎ 
يستخدم الترميز‎ (setfacl) فإن الأمر‎ (chmod) التحكم في الوصول. وبشكل مشابه للأمر‎ 
(x) والتنفيذ‎ (w) والكتابة‎ (r) الثماني للتعبير عن وصول القراءة‎ 
بسرد (قوائم التحكم في الوصول) التي تم وضعها في الملف.‎ (getfacl) ويقوم الأمر‎ 
[root?sunshine access control] getfacl document.txt 


# file: document.txt 


* owner: root 


أمن المعلومات وإدارة مخاطر تقنية ال معلومات Wo‏ 


الفصل الثالث 


# group: root 

user: rw- 

user:alice:rw- 

user:bob:rw- 

group::--- 

group:legal grp:r-- 

mask::rw- 

other::--- 
(Is -1( وبإمكانك أن ترى نتيجة تطبيق (قائمة التحكم في الوصول) إلى الملف باستخدام الأمر‎ 

[root?sunshine access control]? Is -IaF document.txt 

-IYW------- +1 root root | 43836 May 29 10:06 document.txt 
إشارة الزائد )4( في العمود الأخير من الأذونات تشير إلى وجود (قوائم التحكم ف الوصول).‎ 

ملكية الملف: 
سثلقي الآن نظرة أخرى على مخرجات الأمر (1- 15). 

[root?sunshine ~]# cd /home/shared 

[root?sunshine shared]£ Is -laF 

total 56 

drwxr-xr-x. 5 root root 4096 Jan 29 2012 ./ 

drwxr-xr-x. 12 root root 36864 Feb 15 19:57 ../ 


drwxr-xr-x. 6 root root 4096 Jan 29 2012 academic_affairs/ 


wI‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


إدارة النظام (الجزء الثاني) 


drwxr-xr-x. 5 root root 4096 Jan 29 2012 business finance/ 
drwxr-xr-x. 2rootlegal grp 4096 Jan 29 2012 legal/ 
-rw-r--r-- 1 root root 3969 May 29 10:20 README 


ويخبر العمود الثالث عن مالك CALLE‏ وهو اللمستخدم الذي نشا ال ملفء أو ا مستخدم 
الذي تم تحويل ملكية املف إليه من امالك السابق أو من مسؤول النظام. وبا مثل فإن 
العمود الرابع يحدد المجموعة التي تملك الملف. وعادة هذا هو الوضع الافتراضي ملجموعة 
المستخدم الذي أنشأ الملف. ومع ذلك سنتعلم لاحقاً في هذا الفصل ما يؤثر في استخدام 


المجموعة الافتراضية. 
.+ ید Jl‏ | كية : 

يتم تغيير ملكية شخص أو ملكية مجموعة لملف ما من خلال الأمرين (chown)‏ 

(home/share/READMEJ/) سنقوم بتغيير ملكية‎ JULI هذا‎ ġo على الترتيب.‎ (chgrp)s 
(library grp) المجموعة‎ Jlo (dave) إلى المستخدم‎ 

rootGsunshine shared]? cd /home/shared 

rootGsunshine shared]? chown dave README 

rootGsunshine shared]? chgrp library grp README 


# 15 -IaF 


— ul c 


[ 
[ 
[ 
[root? sunshine shared 
total 56 

drwxr-xr-x. 5 root root 4096 Jan 29 2012 ./ 

drwxr-xr-x. 12 root root 36864 Feb 15 19:57 ../ 

drwxr-xr-x. 6 root root 4096 Jan 29 2012 academic affairs/ 
drwxr-xr-x. 5 root root 4096 Jan 29 2012 business finance/ 
drwxr-xr-x. 2rootlegal grp 4096 Jan 29 2012 legal/ 

-rw-r--r-- 1 dave library_grp 3969 May 29 10:20 README 


أمن المعلومات وإدارة مخاطر تقنية المعلومات wy‏ 


الفصل الثالث 


تحرير الملفات: 

مكنك رؤية محتويات الملف. وتحتاج الآن إلى معرفة كيفية إنشاء وتحرير الملفات 
بنفسك. وهناك المئات من البرامج المتوفرة لتحرير الملفات' TR‏ من أبسطها وهو محرر 
نص سطر الأوامر J (command-line text editor)‏ إلى البرامج الرسومية التي تنافس 
مايكروسوفت وورد في ال مواصفات. لكنك خلال حياتك المهنية ستستخدم العديد من أنواع 
وإصدارات أنظمة التشغيل المعتمدة على نظام ينكسء وقد لا يكون برنامج التحرير المفضل 
لديك متوفراً في JS‏ منهم. هناك مُحرر واحد فقط موجود في جميع أنظمة التشغيل 
المعتمدة على نظام ينكس وهو nen‏ (في-آي) (vi editor)‏ 


المحرر السادس: 

أول شيء عليك تعلمه هو كيفية نطق اسم المحرر. لا تحاول أن تنطق الاسم ككلمة 
(vie)‏ ولا تقم بقراءته على أنه الم الروماني ستة (vi)‏ عليك فقط أن تنطق كل حرف 
منفردا à)‏ -آي) .(vee-eye)‏ أيضا فإن مستخدمي ينكس عادة يستخدمون (vi)‏ على أنها 
فعل (في -آي هذا ال ملف) وليس على أنها اسم (افتح هذا ا ملف في محرر في -آي). 


كتب محرر (في-آي) (vi)‏ بواسطة بل جوي في عام ۱۹۷١‏ وأصبح جزءا أساسيا من نظام تشغيل 
ينكس منذ إطلاقه مع توزيعة برمجيات بيركلي (BSD)‏ في عام ios YAVI‏ ذلك الحين مز هذا 
المحرر بالعديد من التغييرات وإعادة الكتابة. وقد تم تحويله (إعادة كتابته ليعمل على أجهزة 
وأنظمة تشغيل أخرى) إلى جميع أنظمة التشغيل التي تم إصدارها في ذلك الوقت. ولأنه موجود 


في العديد من الأنظمة فإن محرر (في-آي) هو المعيار العملي لتحرير النصوص. ومع أنه تم إضافة 
العديد من المميزات للإصدارات المختلفة من محرر (في-آي) إلا أنه يحتوي على مجموعة موحدة 
من اطهام التي تطبقها جميع الإصدارات. 

وسيبقى هذا الكتاب ضمن تلك المهام الموحدة. ولكن يام وضع جميع الأمثلة من الإصدار 
الرئيسي لمحرر (في-آي) ا مستخدم في نظام ينكس (في-آي ae‏ 





(9) http://freecode.com/search?q = text-editor&submit = Search 


WA‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 





إدارة النظام (الجزء الثاني) 


اساسبات محرر (في-آي): 

ينتاب الكثير من الأشخاص حالة من الخوف عندما يفتحون محرر (في-آي) لأول مرة 
حيث لا يحتوي هذا المحررٍ على قوائم أو على مساعدة من أي نوع» JS Los‏ عام يعرض 
المحرر معلومات قليلة جدا. وبممساعدة الأشخاص الذين يستخدمون المحرر لأول مرة فلقد 
تم تصميم برنامج تعليمي يدعى .(vimtutor)‏ ويقوم هذا البرنامج التعليمي بعرض جميع 
الوظائف الأساسية للمحرر, كما يقوم بتقديم المميزات التي تجعل من ال محرر أداة لا غنى 
lie‏ حتى بعد مرور YO‏ عاما من بدء تطوير هذا ال محرر. وحتى تكتمل فائدتك الشخصية 
ننصح بشدة أن تقوم بالاطلاع على البرنامج التعليمي ال "(vimtutor)‏ 


[alice8sunshine -]$ vimtutor 


وسيقوم هذا الأمر بتشغيل البرنامج التعليمي (vimtutor)‏ كما هو مبين في الشكل (6-7). 


محرر (في-آي) والجيميل (Gmail)‏ 
الكثير من ال مستخدمين لا يعلمون عن العديد من اختصارات لوحة اطفاتيح المتاحة في جيميل 


(Gmail)‏ . وبعد فحص دقيق يتضح أن بعضا من هذه الاختصارات مستوحاة من الاختصارات 
المقابلة في محرر (في-آي). ومن الأمثلة على ذلك: )/( للبحث. و1) للانتقال إلى محادثة «as‏ 
(j)‏ للانتقال إلى محادثة أقدم. 





تشيت البرمجيات والتحديثات: 


في عالم لينكس تُسمى التطبيقات غالبا بالحزم (packages)‏ ويعد تثبيت البرامج 
الجديدة والمحافظة على ترقية حزم البرمجيات ال موجودة في جميع الخوادم من أهم 
الوظائف اليومية للمسؤول عن النظام. ويمكن أن يشكل هذا تحديا بسبب العدد الهائل 
للحزم التي تشكل نظام التشغيل التقليدي للخادم. وحتى أن تثبيت نظام أولي من أنظمة 
لينكس» كا مستخدم في تمارين هذا الكتاب» يشتمل على أكثر من ألف من الحزم المنفصلة. 


http://www.viemu.com/a, vi vim, graphical | انظر اختصارات لوحة اطفاتيح لمحرر (في-آي) على الموقع:‎ )٠١( 
cheat sheet tutorial.html 


(11) http:;//support.google.com/mail/bin/answer.py?hl = en&answer = 6594 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات WA‏ 





الفصل الثالث 


شكل :(€-Y)‏ واجهة البرنامج التعليمي (vimtutor)‏ 


x alice@sunshine:— 
File Edit View Search Terminal Help 





Vim is a very powerful editor that has many commands, too many to 
explain in a tutor such as this. This tutor is designed to describe 
enough of the commands that you will be able to easily use Vim as 

an all-purpose editor. 


The approximate time required to complete the tutor is 25-30 minutes, 
depending upon how much time is spent with experimentation. 


ATTENTION: 
The commands in the lessons will modify the text. Make a copy of this 
file to practise on (if you started "vimtutor" this is already a copy). 


It is important to remember that this tutor is set up to teach by 
use. That means that you need to execute the commands to learn them 
properly. If you only read the text, you will forget the commands! 


Now, make sure that your Shift-Lock key is NOT depressed and press 
the j key enough times to move the cursor so that Lesson 1.1 
completely fills the screen. 








تهيئة الحزم: 

إذا لم تعمل مُسبقاً مع أنظمة التشغيل المعتمدة على نظام ينكس فإن حرَم البرمجيات 
ليست مألوفة لديك. ففي نظام مايكروسوفت ويندوز ونظام ماك أو أس إكسء يتم عادة 
توزيع تحديثات نظام التشغيل ees‏ كبيرة والتي تقوم بتحديث العديد من أجزاء نظام 
التشغيل في وقت واحد. وبالمثل فإن تحديث التطبيقات على هذه الأنظمة الأساسية يتم 
توزيعها في ملف تثبيت واحد والذي يحل محل العديد من ملفات الاصدار القديم. 


ويقوم نظام لينكس» ومعظم أنظمة التشغيل الأخرى امُعتمدة على نظام ينكس, 
بتوزيع تحديثات نظام التشغيل والتطبيقات على شكل حرّم برمجيات. وبدلا من تحزيم 
كافة الملفات التي يحتاج إليها التطبيق في ملف واحدء يتم تقسيم التطبيقات إلى مكونات 
أصغر يمكن استخدامها من قبل تطبيقات أخرى. ويتم تحويل هذه المكونات الصغيرة إلى 
حرّم البرمجيات. وكل حزمة تحتوي على قائمة من التوابع» وهي الحرّم التي يجب أن Cu‏ 
قبل أن يتم تثبيت هذه الحزمة بشكل صحيح. ويمكن أن تصبح قوائم التوابع تلك شاملة 
حتى للتطبيقات التي تبدو إلى حد ما بسيطة. وكمثال على ذلك أدخل هذا الأمر لترى AEG‏ 
التوابع لمتصفح الفايرفوكس. سترى أن فايرفوكس يعتمد على العديد من الحرّم الأخرى: 


[alice?sunshine ~]$ repoquery --requires firefox 


ie‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


إدارة النظام (الجزء الثاني) 


مدير حزمة ال :(YUM)‏ 

يتضمن نظام سينتوس لينكس (CentOS Linux)‏ على مدير حزمة ال (YUM)‏ 
لمساعدة مسؤول النظام à‏ مهام تشيت الحزم الجديدةء ومتابعة قوائم التوابع» وتحديث 
الحرّم. ويعمل (YUM)‏ عن طريق بناء قاعدة بيانات لحُزم ال (RPM)‏ المثبتة حاليا في 
«e Ll‏ ومن ثم مقارنتها مستودعات الحم اموجودة à‏ الإنترنت على مواقع بروتوكول 
نقل النص التشعبي (HTTP)‏ ومواقع بروتوكول نقل الملفات (FTP)‏ التي 3 تحتوي على 

جميع الحزم التي تم إصدارها. ولضمان أن مستودعات الحم تكون Ulo‏ متاحة i5‏ 

i‏ تحميل الحزم بسرعة يتم نسخ املفات بين المئات من الخوادم حول "bul‏ وكل 
منها يعد «مرايا» للمستودع الرئيسي وتحتوي على كافة الملفات الأصلية ويمكن اماه 
لجميع إجراءات التثبيت والتحديث. وقبل تحميل أي ملف يقوم (YUM)‏ تلقائيا باختبار 
سرعة التحميل للمرايا المتاحة ومن ثم اختيار المرايا الأسرع. 
الأوامر (YUM REMOVE)s (YUM INSTALL)‏ 

يقوم الأمر (YUM INSTALL)‏ بتحميل الحزمة المطلوبة وكذلك الحزم التابعة لها 


من مستودعات الحزم. وكمثال على ذلك سنقوم بتشيت حزمة ألعاب (gnome-games)‏ 
والتي تضم loue‏ قليلا من الألعاب مثل السوليتير (Solitaire)‏ وسودوكو (Sudoku)‏ 


[root?sunshine ~]# yum install gnome-games 

Loaded plugins: fastestmirror, refresh-packagekit, security 
Loading mirror speeds from cached hostfile 

* base: mirrors.gigenet.com 

* extras: mirrors.gigenet.com 

* updates: centos.mirror.choopa.net 

Setting up Install Process 

Resolving Dependencies 


(12) http://www.centos.org/modules/tinycontent/index.php?id = 30 


أمن المعلومات وإدارة مخاطر تقنية المعلومات ۱٤۱‏ 





الفصل الثالث 


--» Running transaction check 
---» Package gnome-games.i686 1:2.28.22-.el6 will be installed 
[Output shortened to conserve space] 


Dependencies Resolved 


Package Arch Version 
Repository Size 


Installing: 
gnome-games i686 1:2.28.22-.el6 base 
3.3 M 


Installing for dependencies: 


clutter i686 1.0.63-.el6 base 
320 k 

ggz-base-libs i686 0.99.55.1-.el6 base 
189 k 

guile i686 5:1.8.75-.el6 base 
1.4 M 


Transaction Summary 


يل أمن المعلومات وإدارة مخاطر تقنية المعلومات 


إدارة النظام (الجزء الثاني) 


Install 4 Package(s) 

Total download size: 5.1 M 

Installed size: 18 M 

Is this ok [y/N]: y 

Downloading Packages: 

(14/): clutter-1.0.63-.e16.1686.rpm 

|320 kB 00:00 

(24/): ggz-base-libs-0.99.55.1-.e16.1686.rpm 
| 189 kB 00:00 

(34/): gnome-games-2.28.22-.el6.1686.rpm 
|3.3 MB 00:03 

(44/): guile-1.8.75-.e16.1686.rpm 


|L4MB 00:01 


Total 744 kB/s 
| 5.1 MB 00:07 
[Output shortened to conserve space] 
Installed: 
gnome-games.i686 1:2.28.22-.el6 


Dependency Installed: 


أمن المعلومات وإدارة مخاطر تقنية المعلومات Mey‏ 


الفصل الثالث 


clutter.i686 0:1.0.63-.e16 ggz-base-libs.i686 —0:0.99.55.1-.el6 
guile.i686 5:1.8.75-.el6 
Complete! 
[root?sunshine ~]# gnome-sudoku 
(base, extras, updates) تم إدراج ثلاثة مستودعات افتراضية للحزم‎ JULI هذا‎ (35 
بتحميل قائمة الحرّم‎ (yum) إلى المرايا الأسرع التي تم اختيارها للمستودع. وبعد ذلك يقوم‎ 
ومقارنة هذه القائمة بالحرّم المثبتة مسبقا في النظام.‎ (gnome-games) التابعة لألعاب‎ 
ومن ثم يتم عرض قائمة بجميع الحرم التي سيتم تثبيتها على مسؤول النظام. وإذا كان‎ 
مسؤول النظام يرغب بالاستمرار في العملية سيتم تثبيت الحزم وسيكون التطبيق جاهزا‎ 
للاستخدام.‎ 
يقوم بحذف الحزمة‎ (yum remove) وإذا لم تعد هناك حاجة لحزمة ما فإن الأمر‎ 
وحذف أي حرّم أخرى تعتمد عليها. ومن الواضح أنه يجب توخي الحذر عند استخدام‎ 
للتأكد من أن الحزم الضرورية لعمل الخادم لن تتأثر.‎ (yum remove) الأمر‎ 
[root? sunshine -]? yum remove gnome-games 
Loaded plugins: fastestmirror, refresh-packagekit, security 
Setting up Remove Process 
Resolving Dependencies 
--» Running transaction check 
---» Package gnome-games.i686 1:2.28.22-.el6 will be erased 
--» Finished Dependency Resolution 
Dependencies Resolved 


vee‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


إدارة النظام (الجزء الثاني) 


Package Arch Version 
Repository Size 


Removing: 
gnome-games 1686 1:2.28.22-.el6 @base 
14M 


Transaction Summary 


Remove 1 Package(s) 
Installed size: 14 M 
Is this ok [y/N]: y 
Downloading Packages: 
Running rpm_check_debug 
Running Transaction Test 
Transaction Test Succeeded 
Running Transaction 
Erasing : l:gnome-games-2.28.22-.el6.1686 
11/ 


Removed: 


أمن المعلومات وإدارة مخاطر تقنية المعلومات 16 


الفصل الثالث 


gnome-games.i686 1:2.28.22-.el6 


Complete! 


الأوامر (YUM SEARCH), (YUM LIST)‏ 
لقد tl;‏ أن الأمر (yum install)‏ يسمح لك بتثبيت الحرّم الجديدة. لكن كيف يمكنك 
معرفة الحرم الجاهزة؟ يقوم الأمر (yum list)‏ بعرض جميع الحرّم الجاهزةء كما يسمح 
الأمر (yum search)‏ بالبحث عن الحرم التي عنوانها و/أو وصفها يحتوي على مفردات 

البحث. 
[root? sunshine ~]# yum list‏ 
Loaded plugins: fastestmirror, refresh-packagekit, security‏ 
Loading mirror speeds from cached hostfile‏ 
base: mirrors.gigenet.com‏ * 
extras: mirrors.gigenet.com‏ * 
updates: centos.mirror.choopa.net‏ * 
Installed Packages‏ 
ConsoleKit.i686 0.4.1-3.el6 (?anaconda-‏ 
CentOS-201112130233.13866.2/‏ 
ConsoleKit-libs.1686 0.4.1-3.el6 (anaconda-‏ 
CentOS-201112130233.13866.2/‏ 
ConsoleKit-x11.1686 0.4.1—-3.el6 Canaconda-‏ 
CentOS-201112130233.13866.2/‏ 
[Output shortened to conserve space]‏ 


Zlib-static.1686 1.2.327-.el6 


6 أمن المعلومات وإدارة مخاطر تقنية المعلومات 


إدارة النظام (الجزء الثاني) 


base 

zsh.i686 4.3.104.1-.el6 
base 

zsh-html.1686 4.3.104.1-.el6 
base 


[root? sunshine ~]# yum search games 

Loaded plugins: fastestmirror, refresh-packagekit, security 
Loading mirror speeds from cached hostfile 

* base: mirrors.gigenet.com 

* extras: mirrors.gigenet.com 

* updates: centos.mirror.choopa.net 


=== N/S Matched: games 


gnome-games.i686 : Games for the GNOME desktop 
gnome-games-extra.i686 : More games for the GNOME desktop 
gnome-games-help.noarch : Help files for gnome-games 
kdegames.i686 : KDE Games 

kdegames-libs.i686 : Runtime libraries for kdegames 


kdegames-develi686 : Header files for compiling KDE 4 game 


applications 


أمن المعلومات وإدارة مخاطر تقنية المعلومات MV‏ 


الفصل الثالث 


:(YUM UPDATE) الأمر‎ 


يوفر الأمر (yum update)‏ طريقة سهلة طمسح جميع الحزم المثبتة على «eU JI‏ ومقارنة 
إصداراتها بأحدث الإصدارات المتوفرة, كما يقدم تقريرا عن تلك الحرم التي تحتاج إلى 


[root? sunshine -]? yum update 

Loaded plugins: fastestmirror, refresh-packagekit, security 
Determining fastest mirrors 

* base: mirrors.gigenet.com 

* extras: mirrors.gigenet.com 

* updates: centos.mirror.choopa.net 

base | 3.7 kB 

00:00 

extras | 3.5 kB 

00:00 

updates | 3.5 kB 

00:00 

updates/primary. db | 2.8 MB 
00:03 

Setting up Update Process 

Resolving Dependencies 

--» Running transaction check 


---» Package 5110:1686 0:10.0.31-.el6.centos will be updated 


VEA‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


إدارة النظام (الجزء الثاني) 


[Output shortened to conserve space] 


Transaction Summary 


Install 1 Package(s) 
Upgrade 23 Package(s) 
Remove 1 Package(s) 
Total download size: 92 M 
Is this ok [y/N]: y 


Downloading Packages: 


(124/): firefox-10.0.4- 1.el6.centos.i686.rpm | 20 MB 
00:24 
(224/): kernel-2.6.32-220.13.1.e16.1686.rpm | 22 MB 
00:30 


(324/): kernel-firmware-2.6.32-220.13.1.el6.noarch. | 6.2 MB 


00:07 
(424/): kpartx-0.4.9-46.el6 2.2.1686.rpm | 45 kB 
00:00 
(524/): libpng-1.2.491-.el6 2.1686.rpm | 184 kB 
00:00 


[Output shortened to conserve space] 


Complete! 


أمن المعلومات وإدارة مخاطر تقنية ال معلومات ۱6۹ 


الفصل الثالث 


وكما ستلاحظ أن تلك المخرجات مشابهة لمخرجات (yum install)‏ ومن امثير للاهتمام 
أيضاً ملاحظة أن أمر (yum update)‏ يستطيع تثبيت وحذف الحرم بالإضافة إلى تحديثها. 
وفي أثناء تطوير وتحديث حرّم البرمجيات قد يحدث تغيير في الحرّم التي تعتمد عليها أو قد 
يتم تغيير أسماء الحرم مما يتطلب إزالة الحرّم القديمة واستبدالها بالحرّم الجديدة. 


إدارة الحساب: 

اعتماداً على البيئة التي يعمل فيها مسؤول النظام فإن إدارة الحساب قد تستغرق جزءاً 
كبيرا من وقت مسؤول النظام أو قد لا تأخذ إدارة الحساب أي وقت على الاطلاق. ويُعد 
عدد حسابات المستخدمينء ونسبة المستخدمين التي تتم إضافتها أو حذفها معدل منتظم 
بعضا من العوامل التي تؤثر في كمية العمل في إدارة الحساب. وف المنظمات الكبيرة 
كالجامعات والشركات الكبرى فإن مهام إدارة الحساب معقدة جدا وعدد تلك المهام كبير 
أيضا بحيث يصعب معالجتها يدويا. ds‏ هذه الحالات يتم استخدام حل إدارة الهوية 
(Identity Management)‏ لتصميم قواعد إدارة الحساب التي Sue‏ تطبيقها آليا لجميع 
المستخدمين الحاليين والمحتملين. وسوف نغطي إدارة الهوية بعمق أكبر في فصل eb‏ 
لكن الآن سننظر في إجراءات إدارة الحساب اليدوية. 
مدير المستخدم :(User Manager)‏ 

إن أسهل طريقة لإدارة حسابات اللمستخدمين وعضوية المجموعة في سينتوس هي 
استخدام مدير ال مستخدم (User Manager)‏ وهي أداة رسومية db‏ ضمن التشيت 
التقليدي لسينتوس. ويمكنك تشغيلها عن طريق اختيار ا مجموعات والمستخدم User and)‏ 
(Groups‏ من قائمة الإدارة (Administration menu)‏ كما هو موضح في الشكل .(0-Y)‏ 

وتشبه الواجهة إلى حد كبر صفحات إدارة uhl‏ تخدم à‏ نظام ويندوز (Windows)‏ 
ونظام ماك أو إس إكس (Mac OSX)‏ (الشكل .(V-Y‏ ولإضافة مستخدمة جديد انقر على 
زر إضافة مستخدم (Add User)‏ وقم بتعبئة تموذج Lal‏ ممستخدم الجديد. وبشكل افتراضي 
فإن الأداة ستنشئ دليل رئيسي للمستخدم في دليل (/home)‏ الموجود في نظام الملفات» 
كما ستقوم الأداة بإصدار الارقام التعريفية المتاحة للمستخدمين وال مجموعات. لكن ممكنك 


16 أمن المعلومات وإدارة مخاطر تقنية المعلومات 


إدارة النظام (الجزء الثاني) 


تجاوز ذلك والقيام بإدخال قيم مخصصة إذا لزم الأمر. كما مكنك a‏ حذف المستخدم 
عن طريق اختيار زر حذف (Delete)‏ 

ورا ata‏ تل جسات فوسوة Cus] La Muf‏ الفا وار ان 3j‏ 
خصائص (Properties)‏ وف محرر الحساب تستطيع تغيير أي من مجموعة القيم عند إنشاء 
الحساب. بالإضافة إلى ذلك يمكنك تعديل بعض إعدادات تحكم الوصول للحساب مثل: 

٠‏ انتهاء الحساب - بعد هذا التاريخ لن يكون الحساب WE‏ للمصادقة. ويجب على 
مسؤول النظام فتح الحساب للمستخدم لاستعادة الوصول للنظام. 

٠‏ إقفال كلمة السر المحلية - إذا تم تمكين هذه الخاصية فإن المستخدم لن يتمكن 
من إتمام عملية المصادقة بكلمة السر الموجودة في .(etc/passwd/)‏ لكن المصادقة 
الخارجية باستخدام البروتوكول الخفيف للوصول للدليل (LDAP)‏ وبروتوكول 
ا مصادقة على شبكات الكمبيوتر (Kerberos)‏ وخدمة معلومات الشبكة (NIS)‏ 
وغيرها لا يزال مسموحا. 

٠‏ انتهاء صلاحية كلمة ال مرور- ضبط الحد الأدنى والحد الأقصى من الوقت الذي يمكن 
أن يمر بين فترات تغيير كلمات المرور. وعند انقضاء الحد الأقصى للوقت يقوم 
مسؤول النظام بفتح الحساب حتى يتمكن المستخدم من الوصول للنظام. 

الشكل :(0-Y)‏ الوصول pab‏ المستخدمين وال مجموعات 


Applications Places | |. | e» eux‏ اي 
Preferences‏ 

TF Add/Remove Software 

Help cnp Authentication 

©O Date & Time 


ET Firewall 


Gr Kernel crash dumps 


About this Computer 


Lock Screen 


Log Out alice... 
Printing 
Shut Down X 
$ Services 


1$9 Software Update 


Add or remove users and groups 





أمن المعلومات وإدارة مخاطر تقنية المعلومات Yo‏ 





الفصل الثالث 





الشكل :(1-Y)‏ إضافة مستخدم 


c User Manager - t$ 3€ 
Eile Edit Help Add New User 
ues User Name: [frea è 
Add User Add — Ip 
Full Name: [Fred Flintsone 
| ty filter 
Password: [9999 J APP, 
» 
Users | Groups | | Confirm Password: [e 1 


Home Directo 


User Name 


ice aj Login Shell: [/binv/bash 7t ces 
bob 5| 7 /nome/bob 
chartie s| 7 Create home directory /home/chartie: 
dave 5 Home Directory: |/home/fred /home/dave 
eric 5 /nhome/ernic 


Create a private group for the user‏ إن 
Specify user ID manually:‏ 


Specify group ID manually: 


Cancel QK 





الشكل :(V-Y)‏ مدير المجموعة 


User Manager 
File Edit Help 


b a a =‏ ذه 


Add user Add Group Properties Delete 


Search filter: | 











Group Data [ Group Users ] 


Select the users to join this group: 
abrt 


uses mu] 


Group Name 
DoD 

charlie 

dave 


E 


adm 
alice 


| apache 


col fine arts grp c 


coll engineering grp. 505 
WHbrary grp 


| avahi 


avahi-autoipd 
bin 


510 LCBO O زت آذ‎ 


eric 
student srv grp 508 
counseling grp 509 
coll medicine grp 


wp academic aff grp 511 
legal gp 512 
col! business grp 513 
vp business fin grp 514 
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٠‏ التغيير الإلزامي لكلمة المرور عند تسجيل الدخول القادم - والمعنى هنا واضح ولا 
يحتاج إلى تفسير. ويستخدم هذا الإعداد في كثير من الأحيان للحسابات الجديدة 
حيث يقوم مسؤول النظام بإنشاء حساب جديد بكلمة سر بسيطة ومعروفة. 
وعندما يقوم ا مستخدم بتسجيل الدخول للمرة الأولى فإنه يطلب dio‏ تغيير كلمة 
المرور إلى أخرى أكثر أمنا. 


YoY‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


إدارة النظام (الجزء الثاني) 


وبالإضافة إلى المستخدمين فإن علامة تبويب المجموعات (groups)‏ تسمح بإدارة كل 
ما يخص المجموعة كالإنشاء والحذف وتغيير العضوية (الشكل "-/). ولإضافة مجموعة 
خويكدة diLo] 5 96d‏ مهغ (Add Group)‏ وال deas! Gul‏ الجديدة. 
وبإمكانك أيضاً تحديد رقم ريف مخضص للمجموعة إن لزم الأمن aes‏ إنقناء المجموعة 
سيتسنى لك إضافة أعضاء لها. اختر اسم المجموعة من القائمة الموجودة في علامة تبويب 
ا مجموعات وانقر على زر خصائص (Properties)‏ وعندها سيتم عرض النافذة الموضحة 
على يمين الشكل. وعليك أن تنقر على مربع الاختيار الموجود بجوار كل مستخدم ترغب 
بإضافته كعضو. وبعد ذلك انقر فوق موافق (OK)‏ الآن مجموعتك الجديدة جاهزة 


للاستخدام. 


إدارة مستخدم سطر الأوامر :((Command-line user administration)‏ 


من السهل جداً استخدام الواجهة الرسومية ل (إدارة المستخدم) حيث هكن عملياً 
استخدامها لجميع مهام إدارة المستخدم, لكن ما الذي يمكن أن تفعله إذا كانت حزمة إدارة 
المستخدم غير متوفرة أو كنت تعمل على نظام عن بعد عبر اتصال الطلب الهاتفي؟ في 
مثل هذه الحالات فإن (واجهة سطر الأوامر) هي الخيار الأفضل. والخبر السار هو أن لكل 
شيء في نظام ينكس مكافتاً في سطر الأوامر. في الواقع فإن العديد من الأدوات الرسومية 
في نظام ينكس مجرد واجهات أمامية تقوم بجمع البيانات من المستخدم» وتشغيل برنامج 
سطر الأوامرء وعرض النتائج. 

ويمكن استخدام الأوامر (useradd)‏ و (usermod)‏ و (userdel)‏ لإدارة معظم el‏ 
الموجودة في إدارة المستخدم. ومثل العديد من الأوامر الأخرى التي ناقشناها في هذا الفصل 
فإن هذه الأوامر لها قدرات مختلفة اعتمادا على نظام التشغيل الذي تعمل عليه. وتحتوي 
الإصدارات الموجودة مع نظام سينتوس على بعض الليزات المتقدمة التي يمكننا الاستفادة 
data‏ ولكن سوف نكتفي بتوضيح المواصفات المتوفرة في المنصات المتعددة. 

(fred) هذا المثال سوف نقوم بإنشاء مستخدم جديد بحيث يكون اسم المستخدم‎ ds 
كما سنقوم أيضا بحفظ الاسم الكامل للمستخدم‎ .(d) (/home/fred-) والدليل الرئيسي‎ 
.(«c» Fred Flintstone-) حقل ملاحظات ملف كلمة امرور‎ à 


أمن المعلومات وإدارة مخاطر تقنية المعلومات YoY‏ 


الفصل الثالث 


[rootQ sunshine ~]# useradd -c “Fred Flintstone” -m -d */home/fred" fred 

[root@sunshine ~]# ls -laF /home/fred 

total 28 

drwx------ . 4 fred fred 4096 May 4 19:48 . 

drwxr-xr-x. 9 root root 4096 May 4 19:48 ../ 

-rW-r--r--. 1 fred fred 18 May 10 2012 .bash logout 

-rW-r--r--. 1 fred fred 176 May 10 2012 .bash profile 

-rW-r--r--. 1 fred fred 124 May 10 2012 .bashrc 

drwxr-xr-x. 2 fred fred 4096 Nov 11 2010 .gnome2/ 

drwxr-xr-x. 4 fred fred 4096 Jan 22 18:48 .mozilla/ 
وقبل أن يتمكن المستخدم الجديد من الدخول على حسابه سنحتاج إلى ضبط كلمة‎ 
فإنه يترك حقل كلمة السر فارغا مما يؤمن‎ (useradd) المرور. وعندما تقوم باستخدام أمر‎ 
فإنه يسمح لك‎ (passwd) حتى يتم تعيين كلمة ال مرور. أما أمر‎ Ui الحساب بشكل‎ 
بضبط كلمة ا مرور في الحساب المصرح لك القيام بذلك. وبينما يوضح امثال التالي كلمة‎ 
السر فإنه عمليا ولأسباب أمنية لا يتم عرض كلمة السر. وها أنك على الأرجح ستحتاج‎ 
لإعطائها للمستخدم‎ (la إلى كتابة كلمة السر (على ورقة أو في البريد الإلكتروني أو في ملف‎ 
الجديد» يتوجب عليك أن تطلب من المستخدم تغيير كلمة السر عند أول تسجيل دخول.‎ 

(passwd) مع الأمر‎ (e-) وستقوم بعمل ذلك في سينتوس باستخدام المفتاح‎ 
[root sunshine ~]# passwd fred 
Changing password for user fred. 


New password: NewPasswordGoesHere 


Retype new password: NewPasswordGoesHere 


Yo£‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


إدارة النظام (الجزء الثاني) 


passwd: all authentication tokens updated successfully. 
[root sunshine ~]# passwd -e fred 


Expiring password for user fred. 


الآن بإمكان ا مستخدم (fred)‏ تسجيل الدخول على النظام والوصول لملفاته. وبالإضافة 
إلى مفتاح (e-)‏ فإن هناك العديد من المفاتيح المفيدة في التحكم بالوصول التي يسمح بها 
الأمر (passwd)‏ مثل إقفال حساب (-1) وفتح حساب (u-)‏ وضبط العمر الأدنى لكلمة 
ا مرور (n-)‏ وكذلك ضبط العمر الأقصى لكلمة المرور (-×). 


[root sunshine ~]# passwd -l fred 

Locking password for user fred. 

[root sunshine ~]# passwd -u fred 
Unlocking password for user fred. 

[root sunshine ~]# passwd -n 1 -x 180 fred 
Adjusting aging data for user fred. 


ولإضافة المستخدم كعضو في مجموعة موجودة بإمكانك استخدام الأمر (usermod)‏ 
مع مفتاح (aG-)‏ ويتوجب عندها فصل أسماء ال مجموعات بفاصلة. 


[root?sunshine ~]# groups fred 

fred : fred 

[root?sunshine ~]# usermod -a -G 

coll fine arts grp,vp academic aff grp fred 
[root?sunshine ~]# groups fred 


fred: fred vp academic aff grp coll fine arts grp 


أمن المعلومات وإدارة مخاطر تقنية المعلومات 100 





الفصل الثالث 
وبإمكانك أيضاً استخدام الأمر (usermod)‏ لتعديل بعض من خيارات الحساب مثل 
تاريخ الانتهاء (e-)‏ ونقل الدليل الرئيسي .(md-)‏ 
[root@sunshine ~]# usermod -e 201301-08- -md */home/flintstone" fred‏ 
[rootsunshine ~]# Is -laF /home/flintstone‏ 
total 28‏ 
drwx------ . 4 fred fred 4096 May 4 19:48 .‏ 
drwxr-xr-x. 9 root root 4096 May 4 19:48 ../‏ 
-rW-r--r--. 1 fred fred 18 May 10 2012 .bash logout‏ 
-rW-r--r--. 1 fred fred 176 May 10 2012 .bash profile‏ 
-rW-r--r--. 1 fred fred 124 May 10 2012 .bashrc‏ 
drwxr-xr-x. 2 fred fred 4096 Nov 11 2010 .gnome2/‏ 
drwxr-xr-x. 4 fred fred 4096 Jan 22 18:48 .mozilla/‏ 


وأخيراً فإن الأمر (userdel)‏ يقوم بحذف حساب المستخدم. وافتراضياً لا تتم إزالة 
الدليل الرئيسي لحساب المستخدم ولإزالته يتوجب إضافة ا مفتاح (r-)‏ 


[root?sunshine ~]# userdel -r fred 

[rootsunshine ~]# Is -laF /home/flintstone 

ls: cannot access /home/flintsone: No such file or directory 
[root?sunshine ~]# groups fred 


groups: fred: No such user 


Y‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


إدارة النظام (الجزء الثاني) 


إدارة المجموعة: 

وبشكل مشابه لأوامر إدارة المستخدم (userdel) 5 (usermod)s (useradd)‏ فإن 
هناك أوامر مطابقة لها وموجية لإدارة المجموعة وهي (groupmod)s (groupadd)‏ 
.(groupdel)s‏ ولأن المجموعات لديها عدد قليل جد من الخيارات القابلة للضبط فإن 
لهذه الأوامر عدداً XB‏ جداً من المفاتيح المستخدمة. ولا يحتاج الأمران (useradd)‏ 
(userdel)s‏ إلى أي معايير إضافية سوى أن تقوم المجموعة بالعملء والخيار الوحيد لأمر 
(usermod)‏ هو إعادة تسمية المجموعة باستخدام .(n-)‏ ويمكن إدارة عضوية ال مجموعة 
باستخدام الأمر (groupmems)‏ والذي يتضمن مفتاح للإضافة «(a-)‏ وآخر للإزالة (d-)‏ 


.)1-( وثالث لسرد جميع أعضاء المجموعة‎ 
[root? sunshine ~]# groupadd new group 
[root? sunshine ~]# groupmems -a alice -g new group 
[root? sunshine -]? groupmems -a bob -g new group 
[root?sunshine ~]# groupmems -l -g new group 
alice bob 
[root? sunshine -]? man groupmod 
[root?sunshine -]? groupmod -n improved group new group 
[root? sunshine ~]# groupmems -l -g improved group 
alice bob 
[root?sunshine ~]# groupmems -l -g new group 
groupmems: group (new group does not exist in /etc/group 


[root? sunshine ~]# groupdel improved group 


أمن المعلومات وإدارة مخاطر تقنية ال معلومات Yov‏ 


الفصل الثالث 


نموذج حالة - كلية شمال غرب ولاية فلوريدا (Northwest Florida State College)‏ 


في شهر أكتوبر من عام ۲١٠١‏ تم إعلان سرقة المعلومات الشخصية لأكثر من ٠٠١‏ ألف 
شخص من كلية شمال غرب dos‏ فلوريدا. وتخدم الكليةء التي كانت سابقا كلية مجتمع» 
نحو ۱۷ ألف طالب سنويا. ومنذ تأسيسها في عام VIW‏ منحت الكلية ما يُقارب ٠١‏ ألف 
درحة US ale‏ 


وبلغ عدد المتضررين ما يقارب ٠٠١‏ ألف شخص من الذين ليس لهم علاقة بالكلية. كما 
تمل ST Lao] sl‏ طق GUT VO.‏ م الطلات الان الاي وكذ لك :مولن 
حالي أو متقاعد. وبالنسبة للمتضررين غير المنتسبين للكلية والذين بلغ عددهم ٠٠١‏ ألف 
شخص هم من الطلاب المؤهلين للحصول على المنح الدراسية التابعة لبرنامج ا مستقبل 
المشرق (Bright Futures)‏ في السنوات الدراسية التي تبدا في عامي ۲۰۰۵ و5١٠7‏ . 
وتضمنت البيانات المسروقة الأسماء وأرقام الضمان الاجتماعي وتواريخ الميلاد والجنس 
والعرق. أما بالنسبة للموظفين فقد اشتملت البيانات المسروقة على أرقام حسابات إيداع 
الرواتب. وف وقت إعلان هذه الحادثة اعترفت الجامعة بأن ما يقارب من 00 Le bgs‏ 
في ذلك رئيس الجامعة, قد أبلغوا عن قضايا متضمنة لسرقة الهوية. 

واستناداً إلى تحقيقات الكلية» والتي gal‏ مسناعمة SE gd‏ 
وكذلك بمساعدة خبير جرائم الإنترنت في مكتب نقيب شرطة مقاطعة أوكولوسا 
(Okaloosa County Sheriff's Office)‏ أن الاختراق حدث ما بين YY‏ من شهر مايو Y£9‏ 
من شهر سبتمبر من عام .۲١٠١‏ وتتوقع الكلية أن الاختراق «احترافي ومنسق حدث من 
قرصان واحد أو أكثر». 

وشمل الاختراق مجلد من الخادم الرئيسي للكلية يحتوي على عدة ملفات. ds‏ حين أن 
الكلية cual‏ ال ملفات بحيث لا يوجد ملف واحد يحتوي على كامل ال معلومات الشخصية 
المتعلقة بالأفراد. لكن في حال تمكن القراصنة من الوصول إلى خادم واحد يحتوي على الملفات 
فإنهم سيكونون قادرين على تجميع كل المعلومات المطلوبة عن 00 موظفاً على الأقل. 


.)7011-7:1١( وذلك حسب الإصدار الأخير من كتيب الحقائق الخاص بالكلية في وقت كتابة هذه السطور‎ (W) 


10۸ أمن المعلومات وإدارة مخاطر تقنية المعلومات 





إدارة النظام (الجزء الثاني) 


واستخدم المهاجمون الهويات المسروقة للحصول على (قروض على الراتب) من شركتين في كندا 
وهما: شركة (.PayDayMax, Inc)‏ وشركة ((-Discount Advance Loans (iGotit.com, Inc)‏ . 
كما استخدموا أوراق الاعتماد البنكية المسروقة لسداد تلك القروض. وبالإضافة إلى ذلك تم 
استخدام البيانات المسروقة للحصول على بطاقات اثتمانية من شركة هوم ديبو Home)‏ 
(Depot‏ بأسماء موظفي الكلية. 


Ragan, S. "Northwest Florida State College says clever attackers were 


successful in data breach,” Security Week, October 10, 2012. 


Bolkan, J. "Northwest Florida State College data breach compromises 
300,000 students and employees; Campus Technology, October 17, 2012. 


ad 
الأدوات شرطاً اا لتحقيق النجاح المهني في ال أمن‎ o. امعرفة ال معقولة بهذه‎ J sig 
à ا معلومات. ويقدم هذا الفصل أمثلة ملموسة على مهام إدارة الأنظمة التي نوقشت‎ 
الفصل السابق. والهدف من هذا الفصل تحقيق فهم جيد لكل من إدارة نظام ينكس‎ 
بشكل عام وتوزيع سينتوس لينكس بشكل خاص. وهذه المعرفة ستكون أساسا للنقاشات‎ 
التقنية التي سنتعرض لها في بقية هذا المقرر الدراسي.‎ 
أسئلة مراجعة للفصل:‎ 

S(kernel) ما وظيفة نواة نظام التشغيل‎ .١ 

.Y‏ ما القشرة S(shell)‏ ما برنامج القشرة الموجود في جميع إصدارات نظام ينكس؟ وما 

موجه القشرة (shell prompt)‏ 
Y‏ ماذا يُطلق على قمة هرم هيكلة نظام الملفات؟ وكيف يتم عرضها في أنظمة ينكس؟ 
ع. ما المسار؟ وما الفرق بين oU‏ النسبي والمسار المطلق؟ 


أمن المعلومات وإدارة مخاطر تقنية المعلومات ۱0۹ 


الفصل الثالث 


0. فيم يستخدم أمر نظام ينكس S(pwd)‏ وما هي بعض الخيارات المفيدة التي تأتي 
مع هذا الأمر؟ 

1. فيم ييستخدم أمر نظام ينكس (4ء)؟ وما هي بعض الخيارات المفيدة التي B‏ مع 
هذا الأمر؟ 

۷. فيم يُستخدم أمر نظام ينكس (Is)‏ وما هي بعض الخيارات المفيدة التي db‏ مع 
هذا الأمر؟ 

۸. فيم يُستخدم أمر نظام ينكس S(rm)‏ وما هي بعض الخيارات المفيدة التي db‏ مع 
هذا الأمر؟ 

gb وما هي بعض الخيارات المفيدة التي‎ (mkdir) فيم يُستخدم أمر نظام ينكس‎ A 
مع هذا الأمر؟‎ 

.٠‏ اذكر أمرين من الأوامر التي يمكنك استخدامها في تغيير الدليل الرئيسي. 

ls. VY‏ امتداد اسم الملف S(wildcards)‏ واذكر Ua‏ يوضح كيفية استخدام واحد منها؟ 

.ما التكرارية في سياق عمليات ال ملف؟ وكيف تكون مفيدة؟ وماذا يتوجب أن تكون 
حذرا على الخصوص عند استخدامك للتكرارية في أوامر الملف؟ 

Gs. Wr‏ الطريقة المفيدة لاستخدام أمر (tail)‏ لعرض ملفات السجل files)‏ 108)؟ 

5١.كيف‏ يمكنك استخدام أمر (find)‏ للبحث عن مجلد الرسائل (messages)‏ والذي 
تعلم عن وجوده في مجلد S(var/)‏ 

0.بالنظر إلى مخرجات أمر (1- (Is‏ ا موجودة obol‏ ما الذي تعرفه عن ملكية مجلد 
(accounting)‏ وعن أذونات الوصول إلى هذا ال مجلد؟ 

drwxr-xr-x. 2 root accounting grp 
4096 Jan 28 19:07 accounting/ 

7 بالنظر إلى مخرجات أمر (ls)‏ أعلاه» كيف يمكنك استخدام أمر (chmod)‏ لإعطاء 

أذونات الكتابة لجميع أعضاء مجموعة (accounting grp)‏ في (accounting) Alex‏ 


ve‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


إدارة النظام (الجزء الثاني) 


Ls. VV‏ قوائم التحكم في الوصول؟ وكيف يتم استخدامها؟ 

.يستخدم الأمر f(setfacl)‏ 

1يُستخدم الأمر *(getfacl)‏ 

.اذا المعرفة العملية محرر (في-آي) iago‏ بالنسبة لمسؤولي تقنية المعلومات؟ 
١‏ ضح كيف يتصرف املف التنفيذي (setuid)‏ عند تشغيله. 


.ما الذي على مالك ملف (bashrc.)‏ أن يقوم به ليتمكن من تحرير الملف إذا كانت 
أذوناته الحالية هى SEEE‏ 


Ls YY‏ حزمة البرمجيات؟ ما الأشكال الشائعة في توزيع حزم البرمجيات؟ 
".كيف يمكنك البحث عن جميع حزم البرمجيات المثبتة في نظامك؟ 
CAS. YO‏ تستخدم الأمر (yum)‏ لتحديث جميع البرمجيات في النظام؟ 
أسئلة على نموذج الحالة: 
.١‏ أبقت الكلية على رابط صفحة إلكترونية على صفحتها الرئيسية http://www.)‏ 


"P (/nwfsc.edu‏ وذلك لتوضيح تفاصيل استجابة الكلية ال مستمرة للاختراق. flo‏ على 
تلك ام معلومات» ما الحقائق التى ممكنك إضافتها إلى تفاصيل الحالة الموضحة هنا؟ 

؟. إذا تم اختراق هويتكء ما الضرر الذي هكن أن يحدث لحياتك الشخصية؟ 

Y‏ ما توصيات لجنة التجارة الاتحادية (FTC)‏ بشأن الخطوات التي يجب اتباعها في 
حال اختراق المعلومات الشخصية الخاصة بك؟ 


€. في رأيك ما الخطوات الثلاث الأكثر أهمية التي يمكن اتخاذها لمنع سرقة الهوية في 
امقام الأول؟ 


۲١٠۳/۲۲/۰۲ التحقق الأخير تم في تاريخ‎ (V£) 
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نشاط التدريب العملي-الإدارة الأساسية لنظام لينكس: 


تهدف هذه الأنشطة لإظهار معرفتك بالأوامر التي تعلمتها في هذا الفصل. باستخدام 
الآلة الافتراضية لنظام لينكس التي أنشأتها في الفصل الثانيء افتح نافذة طرفية باختيار لوحة 
أدوات النظام (System Tools)‏ ضمن ål‏ تطبيقات (Applications)‏ بعد الانتهاء من 
كل تمرين قم بتسليم النتائج المطلوبة إلى أستاذ SUI‏ 


تمرين :١‏ 
١‏ غير الأدلة إلى (opt/book/system-admin/)‏ 
۳ اذكر جميع محتويات الدليل (متضمناً ذلك المحتويات المخفية). 


النتيجة المطلوب تسليمها: خذ صورة من الشاشة لمحتويات الدليل. 


تمرين Y‏ 
غير الأدلة إلى (opt/book/system-admin/exY/)‏ 
acl‏ تسمية الملف (eklyll.txt)‏ إلى .(hyde.txt)‏ 
أنشئ نسخة طلف prince.txt)‏ ( باسم (pauper.txt)‏ 
احذف الدليل التالي وجميع محتوياته (Jacob.marley)‏ 


النتيجة المطلوب تسليمها: خذ صورة من الشاشة لمحتويات الدليل. 


تمرين Y‏ 
جد املف الخو ب .(gettysburg.txt)‏ 
اعرض آخر ثلاثة سطور من نص ملف (gettysburg.txt)‏ 
جد املف الي ب .(declaration.txt)‏ 
اعرض آخر خمسة سطور من نص ملف .(declaration.txt)‏ 


vw‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


إدارة النظام (الجزء الثاني) 


النتيجة ا مطلوب تسليمها: خذ صورة من الشاشة تحتوي على السطور المطلوبة من 
ملف (gettysburg.txt)‏ ومن ملف (declaration.txt)‏ 


تمرين :٤‏ 
أنشئ ثلاثة مستخدمين جدد: 
الاسم: Thomas Jefferson‏ . 
اسم المستخدم: thomas‏ 
كلمة السر: .Monticello‏ 
الاسم: „Abraham Lincoln‏ 
اسم المستخدم: abe‏ 
كلمة السر: .Vyears&£score‏ 
الاسم: -Benjamin Franklin‏ 
اسم المستخدم: ben‏ 
كلمة السر: .Early2bedEarly2rise‏ 
أنشئ ثلاث مجموعات جديدة: 
Presidents‏ (الأعضاء: (thomas, abe‏ 
continental congress‏ (الأعضاء: (thomas, ben‏ 
us currency‏ (الأعضاء: (thomas, ben, abe‏ 
اجعل Kh (thomas)‏ طلف (declaration.txt)‏ من التمرين السابق. 


اجعل Kh (abe)‏ ملف (gettysburg.txt)‏ من التمرين السابق. 
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غير ملكية ال مجموعة ملف (declaration.txt)‏ إلى مجموعة (continental congress)‏ 
واجعل الملف Yol‏ للكتابة من قبل المجموعة. يُفترض أيضا أن يكون الملف قابلا للقراءة 


النتيجة المطلوب تسليمها: خذ صورة من الشاشة لأذونات وصول الأفراد/ المجموعات 
للملفين المذكورين. 


تمرين 0: 

قم بتثبيت حزمة )\ (apps-xorg-x\‏ وهي مجموعة من الأدوات الشائعة لواجهة 
المستخدم الرسومية (GUI)‏ 

قم بتشغيل الأمر (xclock)‏ 

افتح 8380 طرفية جديدة وقم بتشغيل الأمر (apps-yum list xorg-x VV)‏ 

النتيجة المطلوب تسليمها: خذ صورة من الشاشة للنافذة الطرفية ولنافذة (xclock)‏ 


تمرين ÁN‏ 
قم بتحديث حزم ال (RPM)‏ المثبتة حالياً في النظام. 


النتيجة المطلوب تسليمها: خذ صورة من الشاشة للسطر الأول من ( .(etc/issue/‏ 


تمرين التفكير النقدي-عمليات التأثير الإلكتروني الهجومية :(OCEO)‏ 

من بين الوثائق التي نشرها إدوارد سنودنء وهو المتعهد الذي كان يعمل في وكالة الأمن 
القومي الأمريكية (NSA)‏ بعد استقالته من الوكالة وثيقة توجيهات السياسة الرئاسية رقم 
(PPD20) ٠‏ الصادرة في أكتوبر من عام Y W‏ وضمن أشياء أخرى» وردت مذكرة سرية 
للغاية تتكون من YA‏ صفحة قامت بتحديد دور (عمليات التأثير الإلكتروني الهجومية- 
(OCEO‏ والتي تم تعريفها بأنها ”العمليات والبرامج ذات الصلة أو الأنشطة الشاملة 
لدفاع الشبكة» والمجموعة السيبرانية» أو (17015:0)-التي أجريت بواسطة حكومة الولايات 
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المتحدة الأمريكية أو نيابة عنهاء في الإنترنت أو من خلالهاء بهدف تمكين أو إنتاج آثار 
الإنترنت خارج شبكات الحكومة الأمريكية“. 


وينص وصف (عمليات التأثير الإلكتروني الهجومية) في وثيقة (PPD20)‏ على ما يلي: 

ويمكن أن تقدم (عمليات التأثير الإلكتروني الهجومية) قدرات غير تقليدية وفريدة من 
نوعها لتحقيق أهداف الولايات المتحدة القومية في جميع أنحاء العام بتحذير ضئيل أو 
معدوم للعدو أو «3a Jl‏ وبتأثير يتراوح بين إحداث إضرار غير ملحوظة إلى إحداث أضرار 
كبيرة. لكن تطوير واستدامة قدرات (عمليات التأثير الإلكتروني الهجومية) قد تتطلب وقتاً 
وجهداً كبيراً إذا لم يكن الوصول والأدوات لهدف محدد موجود بالفعل. 

ويتعين على حكومة الولايات المتحدة تحديد أهداف ممكنة ذات أهمية وطنية حيث 
تكون (عمليات التأثير الإلكتروني الهجومية) قادرة على تقديم توازن مناسب من الفعالية 
والخاظرة às‏ بغيرها من أدوات السلطة الوطنيةء وإنشاء قدرات ل (عمليات التأثير 
الإلكتروني الهجومية) والحفاظ عليهاء وتكون تلك القدرات متكاملة حسب امْلائم مع 
القدرات الهجومية الأمريكية الأخرى» وتنفيذ تلك القدرات بطريقة تتفق مع أحكام هذا 
التوجيه. 


أنت تدخل في عالم محترف يعمل في هذه البيئة. 


Bruce Schneier's Cryptogram, July 15, 2013 


Schneier, B. "Has U.S. started an Internet war?", CNN, 2013, http://www.cnn. 
com/201318/06//opinion/schneier-cyberwar-policy (accessed 072013/16/) 


The Guardian, "Obama tells intelligence chiefs to draw up cyber target list - full 


document text", 2013. 
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أسئلة على تمرين التفكير النقدى: 
.١‏ بعبارات واضحة ما هي (عمليات التأثير الإلكتروني الهجومية)؟ 
۲. ما هي بعض الأنشطة التي قد تشكل (عمليات التأثير الإلكتروني الهجومية)؟ 
UY‏ ماهي بعض التداعيات لخبراء أمن المعلومات الذين يعملون في الولايات المتحدة 
الأمريكية (ورها أيضا خارج الولايات المتحدة) بعد أن أصبح الكل مدركا لوثيقة 
$(PPD20)‏ 


تصميم حالة: 

تمت دعوتك لإلقاء نظرة على محطة عمل البروفسور التي تعمل بنظام لينكس. الجهاز 
جديد US‏ ويحتوي على معالج سريع وذاكرة كبيرةء لكن منذ نحو أسبوع أصبح الجهاز 

أول الأشياء التي عليك معرفتها عند النظر في مشكلات الأداء في نظام ينكس هو تشغيل 
الأمر (ps)‏ والذي يرمز إلى وضع المعالج (processor status)‏ وتوضح مخرجات هذا 
الأمر جميع العمليات التي هي قيد التشغيل في محطة العمل, كما توضح بعض ال معلومات 
الإضافية عن حالة تلك العمليات. 

كما توضح مخرجات الأمر (ps)‏ جميع عمليات نظام التشغيل العادية التي تتوقع أن 
تراها تعمل في النظام» لكنك سترى أيضا بعض العمليات التي تبدو خارجة عن المألوف: 

home/taylor/.sh/ e‏ يعمل كجذر. 


,home/taylor/.../ncftpd/ ٠‏ يستهلك الكثير من مخرجات ومدخلات وحدة 
المعالجة المركزية والقرص. 


الدليل (home/taylor/)‏ هو الدليل الرئيسي للبروفيس ور الدكتور تايلور. وهنا بعض 
المعلومات الإضافية التي قمت بجمعها خلال الفحص: 
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.ل00١ إلى‎ (home/taylor/.sh/ ) ضبط الأذونات في دليل‎ eS 
ملكية ا ملف تعود للجذر.‎ e 
LU مما يعني أن الملفات هي نفسها‎ (bin/bash/) مطابق ل‎ (hash MD) ٠ 
على ملفين:‎ C.../home/taylor/ ( يحتوي الدليل‎ * 
(ps) والذي وجدته يعمل سابقاً بأمر‎ (ncftpd) ملف‎ 
.1٤٤ وملكه تايلور وأذوناته‎ (general.cf) ملف‎ 
TEE وملكه تايلور وأذوناته‎ (domain.cf) ملف‎ 
يتضمن من بين الأسطر الأخرى ما يلي:‎ (general.cf) هذا ال ملف‎ ٠ 
log-xfers- yes 
port = 0 
أرشدك إلى ملف سجل. وهذه هى مخرجات أمر‎ (domain.cf) الملف التالى‎ ٠ 
: ملف السجل:‎ y (V- head) 
201223:30:59 20-04- ### | S,/var/tmp/pub/ 
StarWars.avi, ... 
201223:35:59 20-04- ### | S,/var/tmp/pub/ 
Conan.avi, ... 
201223:37:59 20-04- ### | S//var/tmp/pub/ 
Avatar.avi, ... 
201200:37:59 21-04- ### | R//var/tmp/pub/ 


Avatar.avi, ... 
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201200:37:59 21-04- ### | R//var/tmp/pub/ 
Avatar.avi, ... 
201201:37:59 21-04- ### | R//var/tmp/pub/ 
Avatar.avi, ... 
201202:35:59 21-04- ### | R//var/tmp/pub/ 
Conan.avi, ... 
اكتب تقريراً عن المشكلة التي تعتقد بوجودها في محطة العمل واقترح خطوات لحل‎ 
امشكلة استنادا إلى ما تعرفه.‎ 
أسئلة إرشادية:‎ 


جهاز الحاسب مخترق بالتأكيد. ويدعي الدكتور تايلور أنه ليس لديه فكرة عمن وضع 
البرامج في جهازه. وهناك موضوعان مختلفان Flu‏ على ما وجدت: الموضوع الأول يؤثر في 
أداء الجهازء والموضوع الثاني أكثر خطورة ويؤثر في توصيتك النهائية حيال ما يجب القيام 
به مع جهاز الحاسب. 

٠‏ ناقش برنامج (sh)‏ والذي وجدته في الدليل الرئيسي. 

o‏ ماالذي يحدث عند تشغيل مستخدم “gole”‏ مثل تايلور لهذا البرنامج. 


٠‏ هل باستطاعة المستخدم الذي ليس لديه صلاحية مسؤول النظام» أن يقوم بتغيير 
الملف إلى جذر؟ 


٠‏ هل باستطاعة المستخدم» الذي ليس لديه صلاحية مسؤول النظام» أن يقوم بإضافة 
مالك S(setuid)‏ 


e‏ ماذا يمكن أن يقال عن المستخدم الذي وضع ال ملف هناك في المقام الأول؟ 


los p قم ببعض البحث على الإنترنت إن كان ذلك‎ T(ncftpd) ما هو برنامج‎ ٠ 
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٠‏ في رأيك ما هو الغرض من هذا البرنامج؟ 
e‏ هل لديك تخمين مدروس بخصوص متى تم تثبيت البرنامج أو متى بدأ في عملياته؟ 
٠‏ بناءً على ما تعرفه» ما الذي يجب عمله محطة العمل؟ وطاذا؟ 
أسئلة إضافية: 
٠‏ ماذا يعني سطر المنفذ ۸٠‏ في ملف الضبط؟ 
ء وطاذاتم ضبطه بهذه الطريقة؟ 
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النموذج الأساسى لأمن المعلومات 
من المسؤول عن الأمن على شبكة الإنترنت؟ وكيف أعرف ذلك؟ 


(Cuckoo's Egg (كتاب:‎ 


نظرة عامة: 

يقدم هذا الفصل النموذج الأسامي المستخدم في تطبيق أمن المعلومات والذي يتكون 
من أريعة عناص الأصول» dal colle‏ والتهديداث» والضوابط. وسوف تعرف هذه 
المصطلحات» ونقدم أمثلة لكل منهاء ونوضح كيفية ارتباط بعضها ببعض. في نهاية هذا 
الفصل يجب أن تعرف: 

pole ٠‏ النموذج الأساسي لأمن المعلومات. 

٠‏ العلاقة بين عناصر النموذج الأساسي لأمن المعلومات. 

٠‏ التصنيف الشائع لضوابط أمن المعلومات. 
مقدمة: 

سلطت الفصول السابقة الضوء على أهمية أمن المعلومات. وف مُعظم المنظمات يقع 
الجزء الأكبر من مسؤولية الحفاظ على أمن المعلومات على عاتق مسؤول الأنظمة. ومن 
أجل زيادة اهتمامك بأمن المعلومات عرضت الفصول السابقة المهام الأساسية التي يقوم بها 
مسؤولو الأنظمة والمهارات المطلوبة منهم لإتمام هذه المهام. وفي الفصول اللاحقة سنواصل 
تعزيز هذه المهارات التقنية. 


ويُعد موضوع أمن المعلومات موضوعاً متشعباً لأن معظم حوادث أمن المعلومات تتم 
من خلال استغلال الثغرات الأمنية الجديدة في المنظمة. ومن ثم فإن الحفاظ على أمن 
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ا معلومات يتطلب الانتباه إلى جميع جوانب المنظمة. ولتوفير هيكلة لهذه الجهود. فإنه 
من المفيد تنظيم جميع الأنشطة المرتبطة بالحفاظ على أمن المعلومات في إطار أو نموذج. 
وفي هذا الكتاب نسمي هذا النموذج بالنموذج الأساسي لأمن المعلومات وهو موضح في 
الشكل .)١-٤(‏ 


مكونات النموذج الأساسي لأمن المعلومات: 

النموذج هو تمثيل للعالم الحقيقي. وتكون النماذج مفيدة في لفت الانتباه إلى العناصر 
الأساسية للمشكلة. ويشتمل نموذج أمن ا معلومات على المكونات الأساسية لأمن المعلومات» 
ويوضح علاقة هذه المكونات بعضها مع بعضء ويستبعد النموذج أي شيء آخر. ويظهر 
النموذج الأساسي لأمن المعلومات المستخدم في هذا الكتاب في الشكل .)١-٤(‏ ويتكون 
النموذج من أربعة عناصر: (Y)‏ الأصولء (Y)‏ الثغرات الأمنيةء (Y)‏ التهديدات. )€( الضوابط. 
وكل blis‏ يتعلق بأمن ال معلومات يقع تحت أحد هذه العناصر. 


الشكل :)١-٤(‏ النموذج الأساسي لأمن المعلومات 
4 





۷Y‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


النموذج الأساسي لأمن المعلومات 


الأصول: 

gb‏ الأصول في وسط الشكل (1-6). وفي سياق أمن المعلومات. تعرف الأصول بأنها 
ا موارد أو المعلومات التي نسعى للحفاظ عليها. وفي جميع الحالات الأمنيةء سواء تلك التي 
تتعلق بأمن المعلومات el‏ بأمن المنزل الشخصيء تبدأ تلك الحالات بالأصول التي تعد نمينة 
ها فيه الكفاية بالنسبة لك لبذل جهد خاص للحفاظ عليها من الضرر. وأمن المعلومات 
لا يختلف عن ذلك. فإذا كانت المعلومات أو الموارد ذات الصلة ثمينة بالنسبة للمنظمة, 
عندها تحتاج ال منظمة لبذل جهد خاص لتأمين المعلومات. 

ومع ذلك هناك اختلافان مهمان بين الأصول التقليدية وأصول المعلومات وهما: تعذر 
d 55 JI‏ وقابلية التكرار. ففي معظم الحالات الأمنية التي cal‏ على علم بها فإنه هكن 
رؤية العناصر التي يتعين حمايتها. على سبيل JELI‏ تقوم بقفل سيارتك لحمياتها من 
السرقة, وتركب أنظمة إنذار ممنع إقتحام منزلك. وف UIS‏ الحالتين فإن الأصول مرئية بالعين 
Ssl‏ والضرر واضح KT‏ فإذا اقتحم شخص سيارتك أو منزلك فإن الضرر PERES‏ 
عل القون: Ils‏ كان بالجوار كاميرات ls‏ انها سقط التغريب dsl‏ الذي حدث 
للممتلكات. 

لكن أمن المعلومات مختلف. فالأصول في مجال أمن المعلومات ليست أدوات ملموسة 
يمكن رؤيتها وتحسسها. وبدلاً من ذلك فإن الأصول في مجال أمن المعلومات هي البيانات 
والمعلومات المخزنة بشكل أصفار )8+( وآحاد (Ys)‏ في أجهزة الكمبيوتر والأشرطة والهواتف 
والأجهزة ا مختلفة. وفي حين يمكن رؤية الأقراص الصلبة والأجهزة الأخرىء فإنه لا يمكن 
رؤية البيانات الثمينة المخزنة في تلك الأجهزة. وإذا تمت سرقة البيانات عبر الشبكة فإنه لا 
GS e‏ رصد عملية نقل البيانات عبر الكاميرات والأجهزة الأمنية التقليدية. ويعمل اللصوص 
عادة من دولة مختلفة على بعد آلاف الأميال في مأمن من مراقبة وكالات الأمن التقليدية. 

الفرق المهم الآخر بين الأصول التقليدية وأصول المعلومات هو القابلية للتكرار. 
واستكمالاً ممثال السيارة السابقء فإن السيارة إذا رقت فإنك ستلاحظ ف الصباح أن السيارة 
مفقودة. وذلك GY‏ السيارة يمكن أن توجد في مكان واحد فقط في أي وقت من الأوقات, 
وعلى النقيض من ذلك فإن المعلومات يمكن تكرارها بإتقان. إذا تمت سرقت بيانات فإنك 
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لن تلاحظ عملية السرقة ما م يقم أحد ما بلفت نظرك للحادثة. على سبيل اممثالء إذا Boy‏ 
شخص ما أن جهاز الكمبيوتر المحمول الخاص بك دون رقابة فقام بإرسال نسخة من واجبك 
المنزلي إلى بريده الإلكترونيء وبعد ذلك el‏ بتسليم الواجب على أنه عمله الشخصي. ففي 
هذه الحالة لن يكون لديك أدنى فكرة عن عملية الانتحال هذه وخصوصا إذا لم يقم أستاذ 
المادة بلفت نظركم إليها. 

هذان الفرقان بين الأصول التقليدية وأصول المعلومات - تعذر الرؤية» وقابلية التكرار - 
تجعل من أمن المعلومات تحدياً مختلفاً إلى حد كبير عن الأمن التقليدي. فالأساليب الأمنية 
التقليدية مثل الأقفال والحراس ليست فعالة في الحفاظ على أمن المعلومات. على سبيل 
JULI‏ لن تقوم الأقفال التقليدية بفعل شيء يذكر ممنع سرقة البيانات عبر الشبكة. فالأصول 
التقليدية المسروقة كالذهب ممكن استردادها وإعادتها إلى أصحابها. لكن البيانات المسروقة 
يمكن نسخها إلى مائة qiio‏ وحتى لو تم تدمير بعض هذه النسخ. فإنه يكاد يكون من 
المستحيل أن ننكر استفادة اللص من وصوله إلى البيانات. ومن ثم يتعين على ضوابط أمن 
المعلومات محاولة منع السرقة في المقام الأول وكشف السرقات ومنعها عند حدوثها من 
خلال المراقبة ا مستمرة. 

قرو Bae‏ كان الد ف Rau lunga Lolo‏ اكا ANUS «XJ Las‏ على 
قيمة المعلومات» فإن الأصول المعلوماتية في النموذج الأساسي (الشكل (V-€‏ تظهر على هيئة 
سبائك ذهبية (المعلومات التي في خو العدي مو انات قد تكون قيمتها في الواقع 
أعلى من الذهب!). 


الحالة الأكثر شيوعاً التي ستواجهها هي أن يتم حفظ أصول المعلومات في نظام تقنية المعلومات. 
النظام الورقي لا يستطيع أن يُلبي متطلبات المنظمات الحديثة من حيث المساحة الكبيرة لحفظ 
المعلومات. ويُعرف نظام تقنية المعلومات dib‏ مجموعة من مكونات أجهزة الحاسب الآلي 
والبرمجيات والبرامج الثابتة المهيأة لغرض معالجة وتخزين وإرسال المعلومات. في الشركات 


العائلية الصغيرة قد يكون نظام تقنية المعلومات بسيطا مثل جدول بيانات إكسل. أما في 
الشركات الأكبر قليلا فإن نظام تقنية المعلومات b‏ بشكل برمجيات مخصصة Uis‏ برنامج 
(QuickBooks)‏ أما في الشركات الأضخم فإن نظام تقنية المعلومات b‏ بشكل تطبيقات شاملة 
للمؤسسة مثل نظام تخطيط موارد ال مؤسسات (ERP system)‏ وف الشكل )١-6(‏ يظهر نظام 
تقنية المعلومات على هيئة sleg‏ يحمل الأصول المعلوماتية. 
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النموذج الأساسي لأمن المعلومات 


الثغرات: 

أصبح أمن المعلومات مهماً لأن جميع الأنظمة تحتوي على ثغرات. والثغرات هي نقاط 
ضعف في أمن المعلومات تعطي التهديدات الفرصة ob‏ تصبح خطراً على الأصول". ففي 
حالة نظم تقنية المعلومات القائمة على برنامج مايكروسوفت إكسل والتي تم ذكرها أعلاه. 
تشمل الثغرات الوصول غير ا مصرح به والذي قد يؤدي إلى فقدان الخصوصية أو التأثير في 
التكامل» كما تشمل تعطل القرص الصلب الذي يؤدي إلى فقدان الجاهزية. وإذا وصلنا 
إلى حالة من المثالية التي لا يوجد فيها أي ثغرة في نظم تقنية ال معلومات» فلن يكون هناك 
حاجة لدراسة أمن اممعلومات» ولن نحتاج إلى كادر من اطهنيين المحترفين في أمن المعلومات. 
لكن منتجات البرمجيات الحديثة كبيرة. على سبيل المثال يحتوي نظام ويندوز فيستا على 
ما يقارب من 0١0‏ مليون خط من التعليمات البرمجية'". ومن الصعب التنبؤ والقضاء على 
جميع الثغرات المحتملة في مثل هذه ال منتجات الكبيرة. ويتم إنشاء ثغرات إضافية عند 
التفاعل بين اممنتجات» وحتى لو تم القضاء على جميع ثغرات البرمجيات فإن الثغرات 
التي ينشئها المستخدم ستبقى. على سبيل JULI‏ لا يقوم الكثير من المستخدمين بحماية 
حساباتهم التنفيذية بكلمات مرور جيدة. 

وللتعامل مع الثغرات فإن صناعة البرمجيات بالتعاون مع الحكومة الفدرالية قد 
استثمرت موارد كبيرة لإنشاء مخزون بالثغرات اممعروفة للبرمجيات. وهذا المخزون يعرف 
بقائمة التعرض والثغرات الشائعة (Common Vulnerabilities and Exposures)‏ والتي 
ميدق d]‏ تحديد لاف dsl 24] ela. as‏ لمك Aolsl 89 sel Cola] ol‏ 
وهذه القائمة تحت إشراف مؤسسة (Mitre) juo‏ وهي مؤسسة بحوث وتطوير غير ربحية 
ممولة من الحكومة الفدرالية. ويوضح (Y-6) JS al‏ مثالا للثغرات في هذه القائمة 
Baa)‏ في تاريخ إعداد هذا التقرير). 


(V)‏ هذا تعريف huus‏ مأخوذ من الوثائق التقنية. على سبيل ohal s «JL‏ في قاموس مصطلحات أمن الإنترنت 
(RFC 2828)‏ بأنها «عيوب وثغرات في تصميم الأنظمة أو تطبيقها أو عملياتها أو إدارتهاء والتي يمكن استغلالها 
لانتهاك سياسة أمن المعلومات» 

(2) http://www.nytimes.com/2006/03/27/technology/27soft.html?pagewanted-all& r-0 


(3) http://www.cve.mitre.org/cgi-bin/cvename.cgi?name-CVE-2012-0779 
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بالنظر إلى النظام ا محاسبي المستند إلى جداول البيانات في إحدى شركات الأعمال الصغيرة والذي 


تم ذكره أعلاه» في رأيك ما أهم ثغرات أمن المعلومات في هذا النظام؟ 





الشكل (6-!): مثال على قائمة التعرض والثغرات الشائعة (محدثة في تاريخ إعداد هذا التقرير)» مؤسسة ميتر (Mitre)‏ 


CVE-2012-0779 Learn more at National Vulnerability Database (NVD) 
(under review) = Severity Rating = Fix Information « Vulnerable Software Verssons + SCAP Mappings 


** RESERVED ** This canédate has been reserved by an organization or individual that will use it when announcing a new security problem. When the 
candidate has been publicized, the details for this candidate will be provided. 
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Candidate This CVE Idenbfier has *Candidate" status and must be reviewed and accepted by the CVE Editorial Board before it can be updated 
to official "Entry" status on the CVE List. It may be modfied or evan rejected in the future. 


Phase 
Votes 


Comments 


Candidate assigned on 20120118 and proposed on N/A 
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:(Y-€) JS UI‏ بند (قاعدة البيانات الوطنية للثغرات)؟ المقابل ل )458 التعرض والثغرات الشائعة) 


Vulnerability Summary for CVE-2012-0779 

Original release date: 05/04/2012 

Last revised: 05/04/2012 

Source: US-CERT/NIST 

This vulnerability is currently undergoing analysis and not all information is available. 
Please check back soon to view the completed vulnerability summary. 

Overview 


Adobe Flash Player before 10.3.183.19 and 11.x before 11.2.202.235 on Windows, Mac OS X, 
and Linux; before 11.1.111.9 on Android 2.x and 3.x; and before 11.1.115.8 on Android 4.x allows 
remote attackers to execute arbitrary code via a crafted file, related to an *object confusion 
vulnerability," as exploited in the wild in May 2012. 


References to Advisories, Solutions, and Tools 


By selecting these links, you will be leaving NIST webspace. We have provided these links to other 
websites because they may have information that would be of interest to you. No inferences should 
be drawn on account of other sites being referenced, or not, from this page. There may be other 
websites that are more appropriate for your purpose. NIST does not necessarily endorse the views 
expressed, or concur with the facts presented on these sites. Further, NIST does not endorse any 
commercial products that may be mentioned on these sites. Please address comments about this 
page to nvdGnist.gov. 


External Source: CONFIRM 
Name: http://www.adobe.com/support/security/bulletins/apsb12-09.html 
Hyperlink: http://www.adobe.com/support/security/bulletins/apsb12-09.html 


(4) https://web.nvd.nist.gov/view/vuln/detail?vulnId-2 CV E-2012-0779 
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النموذج الأساسي لأمن ا للعلومات 


وبالإضافة إلى أن المجتمع مهتم بأن يتم لفت انتباهه إلى الثغرات الأمنيةء فإن معظم 
المستخدمين يرغبون كذلك في التعرف على التأثيرات اممحتملة للثغرات والتدابير الموصى 
بها Jy‏ تلك الثغرات. وبعد جهد كبيرء يتم الاحتفاظ بهذه المعلومات في قاعدة بيانات 
الثغرات الوطنية .(National Vulnerabilities Database)‏ ومكنك مشاهدة الرابط من 
(قائمة التعرض والثغرات الشائعة) إلى (قاعدة البيانات الوطنية للثغرات) في الشكل (7-6). 
ويوضح الشكل (Y-€)‏ إدخال (قاعدة البيانات الوطنية للثغرات) المقابل ل (قائمة التعرض 
والثغرات) في الشكل (7-6). 

وبعض مواصفات قائمة الثغرات أعلاه جديرة بالملاحظة. ويتم إضافة الثغرات إلى 
قاعدة البيانات بعد الإعلان عنها على الإنترنت. وال مسؤول عن الإعلان هو الشركة الموردة 
للبرمجيات. ويمكن العثور على مزيد من المعلومات حول الثغرات على الموقع الإلكتروني 
ممورد البرمجيات» وذلك باتباع الرابط الموجود في (قائمة التعرض والثغرات الشائعة). ولا 
تقوم كل من (قائمة التعرض والثغرات الشائعة) و(قاعدة البيانات الوطنية للثغرات) بكشف 
الثغرات» بل يتمثل دورها الأساسي في العمل كمستودع مركزي لجميع الثغرات التي تم 
الإبلاغ dgis‏ وعادة ما يتم الكشف أولاً عن تلك الثغرات من قبل الشركة الموردة للبرمجيات. 


المصدر: سيمانتيك (Symantec)‏ 

E‏ للعدد الكبير من منتجات البرمجيات المستخدمة والحجم المتزايد للإرمجيات 
الخد هة فاه لن من E A‏ أكون (قاعدة EE‏ الوطنية ER (col RU‏ 
ففي شهر مايو من عام 7١17‏ كان متوسط الثغرات التي تم الإبلاغ عنها فشر يوقا 
ds‏ الرابع من شهر مايوء وبعيداً عن الثغرات التي يتم الإبلاغ عنها يومياء كان هناك بلاغات 
عن ثغرات من شركة (VMWare)‏ وشركة (IBM)‏ وجميع الثغرات الثماني التي تم الإبلاغ 
عنها في ذلك اليوم قامت شركات البرمجيات بالإعلان عنها أولاً. 
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وعلاوة على ذلك يتم في كل عام نشر أخطر Yo‏ خطأ من أخطاء البرمجيات والموجودة 
في قاعدة البيانات Pelo‏ وعلى اعتبار أن هذه النشرة مفصلة 00 فإنه يتم توفير 
عينات من التعليمات البرمجية والحلول المقترحة لكل من الثغرات التي تم تحديدهاء وذلك 
لتسهيل المهمة على ال مطورين. وسنقوم باستخدام عينات من التعليمات البرمجية من تلك 
النشرة لاحقا في هذا الفصل. 

ويبدو أن الجهود قد أنمرت» فوفقاً لشركة سيمانتيك (Symantec)‏ وهي الشركة التي 
تطور العديد من منتجات أمن المعلومات الشائعة» فقد تم اكتشاف EIAI‏ ثغرة جديدة في 
عام ٠١١١‏ مقارنة ب WOY‏ في عام 27٠٠١‏ وبنسبة انخفاض تقارب VOAY‏ 


التهديدات: 

col sel‏ الموجودة في الأصول تنشئ التهديدات. وتعرّف التهديدات lil‏ القدرات 
والنوايا وأساليب الهجوم من الأعداء لاستغلال أو الإضرار بالأصول. في مثال الإكسل السابق» 
قد يرغب الموظف في استغلال عدم وجود حماية للملف بكلمة مرور ويقوم بتغيير معدل 
راتبه في الساعة. وتظهر التهديدات في النموذج الأساسي لأمن المعلومات (الشكل )١1-6‏ على 
شكل أسهم. 

لقد تغيرت طبيعة التهديدات بشكل كبير في السنوات الأخيرة. في الأيام الأولى للإنترنت 
كانت E‏ التهديدات من باب المزاح والمقالب مثل تلك التي ارتكبتها عصابة ds EVE‏ 
بداية عام ٠ ٠٠‏ أصبحت التهديدات أكثر تخريباً وانتشاراً Ja)‏ فايروس (ILOVEYOU‏ 
ولقد استجابت الصناعة ومجتمع ال مستخدمين لذلك بالحد من ثغرات البرمجيات. وتحسين 
تدريب المستخدمين. وتشير التوجهات في عام ۲١٠١‏ إلى أن التهديدات المتبقية موجهة 
للغاية ودوافعها تجارية. 


(5) https://www.sans.org/top25-software-errors/ 
Y Ve تقرير سيمانتك عن تهديدات أمن الإنترنت. اتجاهات عام‎ (1) 
Y تقرير سيمانتك عن تهديدات أمن الإنترنت. اتجاهات عام‎ (V) 
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وقد قامت الصناعة بتطوير أداة تدعى أطلس (ATLAS)‏ وهي أداة شائعة تستخدم 
في تصور التهديدات الهامة التي تواجه ا منظمة. ويستخدم أطلس (ATLAS)‏ أجهزة 
الاستشعار المنتشرة من قبل مزودي خدمات الإنترنت في جميع أنحاء العام لجمع المعلومات 
حول التهديدات التي تواجهها المنظمات في الوقت الفعلي لحدوث التهديد» ومن ثم تتم 
معالجة هذه ا معلومات وعرضها على شبكة الإنترنت. ويمكن ممسؤول الأنظمة التعرف 
بسرعة على الهجمات. والتأكد من أن لديهم الدفاعات المناسبة مواجهة هذه الهجمات. 
ويوضح الشكل )€-£( واجهة أطلس على الإنترنت. 

do‏ شهر إبريل من عام ۲١٠۲‏ أصدرت سيمانتيك (Symantec)‏ تقرير التهديدات لعام 
١‏ حيث منعت منتجات الشركة 0,0 مليارات هجمة في عام (Y «VY‏ مقارنة ب Y‏ مليارات 
هجمة في عام ٠٠٠٠١‏ أي بزيادة قدرها أكثر من (XA)‏ ومن الفارقات أنه في حين أن 
البرمجيات أصبحت أكثر أماناء وعدد الثغرات أخذ في التناقص» إلا أن عدد الهجمات أخذ 
في الازدياد. 

هذا التناقض ظهر بسبب ما يعرف ب «صناعة الهجوم» حيث ظهرت أدوات وبيئات 
تطويرية متكاملة مثل (Zeus, Spyeye)‏ تساعد اممهاجمين على إنشاء هجمات جديدة 
وسريعة»ء وتساعد على استغلال الثغرات الموجودة بكفاءة أكبر. إن إحداث هجمات ناجحة 
يحتاج فقط إلى خبرة قليلة باستخدام تلك الأدوات Yas‏ من استخدام المبادئ ds‏ لذلك 
أصبحت التهديدات قابلة للاستغلال لأنها في متناول عدد أكبر من الناس. ولعل هذا يفسر 
إلى حد ما زيادة الهجمات المدفوعة بدوافع سياسية. وتلك هي بيئة أمن المعلومات التي 
نعيش فيها اليوم. 


(8) https://atlas.arbor.net/about/ 
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الشكل :)٤-٤(‏ واجهة أطلس على الإنترنت. تم الحصول على هذه المعلومات من Arbor Networks")‏ 

(ATLAS Initiative‏ في تاريخ ۱۲/مايو/۲٠١۲»‏ ولقد تم الحصول على إذن لإعادة النشر. البيانات من 

موقع أطلس متغيرة ولذا فإنه قد تكون المعلومات الموجودة في الشكل تغيرت منذ تاريخ نشر البيانات. 
جميع الحقوق محفوظة. أطلس (ATLAS)‏ هي علامة تجارية لشركة CArbor Networks, Inc)‏ 


JA Artes eteecets | ATLAS © 








“EsAN? 





الضوابط: 

ستكون جميع أنظمة تقنية المعلومات معرضة للهجوم في المستقبل المنظور. وفي هذا 
الإطار الزمني سيكون هناك مهاجمون متفرغون للتهديد باستغلال تلك الثغرات الأمنية, 
وذلك لتحقيق مكاسب شخصية أو بهدف دوافع أخرى. ما الذي يفعله مسؤول النظام 
للدفاع عن أجهزة الكمبيوتر التي في عهدته؟ 


يتمثل دور أمن المعلومات في الحد من تلك التهديدات. ويتم ذلك عن طريق تطبيق 
الضوابط الأمنية في أنظمة تقنية المعلومات المعرضة للخطر. والضوابط الأمنية هي 
الإجراءات الوقائية املستخدمة للحد من تأثير التهديدات. وف النموذج الأساسي لأمن 
المعلومات (الشكل )١-6‏ تظهر هذه الضوابط على شكل حلقة حول نظام تقنية المعلومات. 
s‏ الشكل (Y-€)‏ يشير عرض السهم الى التكرار النسبي لفئات التهديدات المختلفة التي 
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تعرضت لها منظمة تقليدية. ويتم تعطيل مُعظم التهديدات باستخدام الضوابط المعتمدة 
عادة لدى المنظمات. على سبيل اممثال» gb‏ معظم أنظمة التشغيل الآن مع جدار حماية 
تم ضبطه مع بعض الإعدادات الافتراضية التي تشجع المستخدم على استخدام كلمة مرور 
قوية لتأمين حساب المستخدم التنفيذي على أجهزة الحاسب SI‏ الخاصة بهم. وتجاريا 
حتى الشركات الصغيرة تقوم بالنسخ الاحتياطي للملفات الهامة على محركات أقراص صلبة 
خارجية أو باستخدام خدمات الإنترنت الأخرىء كما تقوم بالحفاظ على أجهزة الحاسب 
JYI‏ الخاصة بها وحمايتها لمنع الوصول غير المصرح به. 


فيما سبق قمت بتحديد الثغرات في النظام ا محاسبي ا مستند إلى جداول البيانات. في رأيك ما أفضل 


وسيلة لحماية هذا النظام من تلك الثغرات؟ 





وحتى الضوابط البدائية المذكورة أعلاه يمكنها بنجاح منع غالبية التهديدات التي تواجه 
المنظمات. وهذه موضحة بالسهم العريض في الجزء السفلي من الشكل .)١-٤(‏ 

لكن وكما هو موضح في الشكل (1-6) حتى الضوابط الأمنية المثلى تحتوي على فجوات. 
على سبيل «JUN‏ يفضل المستخدمون عادة كلمات المرور التي لا تنسى على تلك الأكثر 
أمناً. كما أن المستخدمين عادة غير منتظمين في القيام بالنسخ الاحتياطي لملفاتهم حتى لو 
كان لديهم أنظمة نسخ احتياطي بآلاف الدولارات. وتقوم التهديدات باستغلال الثغرات 
الموجودة في الضوابط الأمنية للوصول إلى نظم تقنية المعلومات الضعيفة. وهذه التهديدات 
موضحة بأسهم على هين الشكل (Y-€)‏ والتي اخترقت الضوابط ووصلت إلى نظام تقنية 
المعلومات. ولحسن الحظ فإن تلك التهديدات قد لا تضر النظام حالياء وهذه الفكرة 
موضحة بعدم قدرة السهم في الشكل )١1-6(‏ للوصول إلى نظام تقنية المعلومات. 


وبالعودة لنظام تقنية المعلومات القائم على جداول بيانات إكسل فإن أحد التهديدات 
هو سرقة جهاز الحاسب JYI‏ المحمول الذي تحتفظ الشركة فيه بسجلاتها. وفي كثير من 
الحالات يكون اللص Lèl‏ في بيع جهاز الحاسب JYI‏ المحمول من أجل «JUI‏ ويقوم 
المشتري بإعادة تثبيت نظام التشغيل للمحافظة على slol‏ الجهاز. وفي هذه الحالة, ورغم 
أن ا معلومات معرضة لخطر السرقة, فإن الخصوصية م يتم اختراقها. وإذا كان لدى الشركة 
نظام جيد للنسخ الاحتياطي فإن الجاهزية أيضا لن تتأثر. 


أمن المعلومات وإدارة مخاطر تقنية المعلومات ۸۱ 
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لكن جزءاً صغير جداً من التهديدات سيسبب ضرراً حقيقياً للمنظمة. وستنجح هذه 
التهديدات في التغلب على الضوابط الأمنية السابقة واستغلال الثغرات لاختراق المعلومات 
ا مرغوب فيها. هذه التهديدات موضحة بالسهم في الجزء العلوي من الشكل .(V-€)‏ ومثال 
على ذلك من النظام المعتمد على جداول بيانات إكسل هو وصول أحد الموظفين إلى جهاز 
الحاسب VI‏ المحمول عند عدم تواجد المدير وقيامه بتغيير عدد الساعات التي عملها 
لزيادة تعويضه امالي. 


وتدور مهنة أمن المعلومات حول منهجية تحديد أصول ا معلوماتء والثغرات» والتهديدات, 
والضوابط» ونشر الضوابط بشكل مناسب بحيث أن الأموال التي تنفق على تلك الضوابط 
تحقق أكبر عائد ممكن للمنظمة. وما تبقى من هذا الكتاب يشرح تلك ا مكونات بالتفصيل 
حيث يستعرض ما تبقى من هذا الفصل: الثغرات, والتهديدات. والضوابط الهامة. وقد 
يُنظر إلى هذه الجزئية على أنها تمرين لبناء مفرداتك في أمن المعلومات. 


تستخدم أدبيات أمن ال معلومات الشائعة عبارة «الثغرات» و«التهديدات» و«المخاطر» بشكل 
Jolia‏ وهذا أمر مؤسف. وتشمل المخاطر كلا من إمكانية حدوث الخسائر وقياس الخسائر 
عند حدوثها. وترتبط الثغرات بالنصف الأول من المخاطر؛ لأنها تؤسس لإمكانية حدوث الخسائر. 
وترتبط التهديدات بالنصف الآخر من المخاطر - إذا كانت ناجحة فإن التهديدات ستؤدي إلى 
حدوث خسائر. ويهتم ال مديرون بتخفيف ال مخاطر. وتتحول التهديدات والثغرات إلى مخاطر فقط 
عندما تكون أصول المعلومات الثمينة في خطر. 

وخير مثال على ذلك وثيقة «تصنيف المخاطر التشغيلية لأمن الإنترنت» A taxonomy of)‏ 
(operational cyber security risks‏ من معهد هندسة البرمجيات (SEI)‏ في جامعة كارنيجي 
ميلون (CMU)‏ ومن المخاطر المحددة في الوثيقة «تصرفات الناس» والتي يتم تصنيفها عادة 
کتغرات". 

às‏ مثال النظام محاسبي ا مستند إلى جدول البيانات» قد يكون الخطر à‏ عدم قدرة الشركة على 
سداد الديون بسبب قيام موظف مستاء بالتلاعب في البيانات على جهاز الحاسب الآلي غير ا محمي. 
والثغرة الأمنية في هذا JULI‏ هي جهاز الحاسب الآلي غير ا محمي» أما التهديد فهو الموظف المستاء. 
وسنقوم بتغطية موضوع إدارة ال مخاطر بالتفصيل à‏ الفصل الرابع عشر» حيث سنقوم à‏ ذلك 
الفصل بكتابة بعض عبارات ال مخاطر وذلك للتمييز بوضوح بين ال مفاهيم الثلاثةء وذلك حتى يكون 
«à‏ هذا الكتاب قادرين على التمييز بين «الثغرات». و«التهديدات»». و«المخاطر»» واستخدام 
ا مصطلحات الصحيحة حسب الحاجة. 





(9) http://resources.sei.cmu.edu/library/asset-view.cfm?assetid-9395 
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الثغرات» «luo Als‏ والضوابط الشائعة: 

خلال الفصول القادمة من هذا الكتاب سوف نستعرض ضوابط أمن المعلومات الهامة 
بمزيد من التفصيل. وفي هذا الوقت فإنه من المفيد أن نعرض الثغرات والتهديدات والضوابط 
الأكثر شيوعا حتى يمكنك البدء في التفكير في الأبعاد ا مختلفة لتحديات أمن المعلومات. 


الثغرات الأمنية: 


الثغرات هي النقاط التي يمكن استغلالها في نظم المعلومات. وتوجد ثغرات لا حصر 
لها كما يتم اكتشاف ثغرات جديدة كل يوم. ولفهم الثغرات بطريقة مناسبة لا بد من 
تصنيفها بطريقة ماء وفي الواقع هناك العديد من أنظمة التصنيف للثغرات. على سبيل 
«JULI‏ يقوم أحد أنظمة التصنيف بتقسيم الثغرات Fo‏ على مرحلة دخول الثغرة في دورة 
حياة تطوير البرمجيات (software development life cycle)‏ وتقوم مجموعة من طرق 
التصنيف الأخرى بتصنيف الثغرات zs‏ على التهديدات التي تنشئها. وللأمف OB‏ جميع 
طرق التصنيف تلك تعاني من بعض السلبيات. على سبيل «JULI‏ في نظم المعلومات الكبيرة 
يعاني نظام التصنيف القائم على دورة حياة تطوير البرمجيات من صعوبة التحديد الدقيق 
للمرحلة التي تم فيها دخول الثغرة. أما أنظمة التصنيف القائمة على تحديد التهديدات 
التي تنشئها الثغرات فإن آلية التصنيف حتما غير مكتملة بسبب أن هناك أنواعا جديدة 
من الكمويدات cà2253‏ زاك (cs‏ 


ولتحقيق أهداف هذا ال مقرر الدراسى فإنه من المناسب تصنيف الثغرات إلى ثغرات 
برمجيةء وثغرات إجرائية. 
الثغرات البرمجية: 


الثغرات البرمجية هي أخطاء في مواصفات أو تطوير أو ضبط البرمجيات بحيث ينتهك 
تنفيذ تلك البرمجيات سياسة الأمان"". وفيما يلي نعرض بعضا من الثغرات البرمجية الأكثر 


شيوعا: 


(10) Meunier, P. Classes of vulnerabilities and attacks (download). In: Handbook of Science and 


Technology for Homeland Security, Wiley, 2007 


(11) Krsul, I. "Software vulnerability analysis." unpublished PhD dissertation, Purdue University, 1988. 
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عدم التحقق من صحة ال مدخلات: الثغرات المتعلقة بالتحقق من صحة المدخلات ترجع إلى 
الحالة التي يتم فيها استخدام مدخلات المستخدم في البرنامج دون التأكد من صحتها. والاستخدام 
الشائع للبرمجيات» وبالأخص برمجيات الإنترنت» هو الوصول للمعلومات من قواعد البيانات. 
من الأمثلة على ذلك استرجاع قوائم الأفلام في مواقع الإنترنت مثل موقع (sonypictures.com)‏ 
أو استرجاع نص صفحة إنترنت من أنظمة إدارة المحتوى à (content management systems)‏ 
مواقع الإنترنت مثل موقع (PBS Frontline)‏ وموقع «(HB Gary)‏ وهي شركة أمن للحاسب 
الآلي تقوم بتوفير حلول أمنية متخصصة لعدة أجهزة حكومية. وعادة ما يقوم مستخدمو 
هذه المواقع باستخدام مربع البحث أو غيرها من حقول الإدخال لتحديد احتياجاتهم من 
ا معلومات. وبعد ذلك تقوم البرمجيات التي تعمل في الموقع الإلكتروني بمعالجة مدخلات 
المستخدم لتوفير الاستجابة المناسبة. وإذا م يتم التحقق من صحة إدخال المستخدم بشكل 
صحيح OB‏ اللمستخدم يستطيع الوصول إلى معلومات يفترض ألا يحصل عليها. وفيما 
يلي مثال لتعليمات برمجية لأحد البرامج باستخدام استعلام باللغة الاستفسارية الإنشائية 
المركبة (SQL)‏ لإيجاد العناصر المطابقة لاسم المستخدم واسم العنصر. وإذا م يتم التحقق 
في جدول CO pobal‏ 

query = "SELECT * FROM items WHERE itemname = ' “ + ItemName.Text + “ ° °; 

// expected user input for ItemName: pencil; 

// actual user input for ItemName: pencil OR '2-'25 

// query result is: 

SELECT * FROM items WHERE itemname = pencils OR 2-85 

// which translates to: 


SELECT * FROM items; 


والعامل المشترك بين المواقع الإلكترونية ال مذكورة هنا (PBS Frontline)‏ و HB Gary)‏ 
(Federal‏ و (Sony Pictures)‏ هو أنها تعرضت للاختراق بطريقة محرجة في عام Y* VV‏ 
وذلك بسبب عدم قيام برمجيات الإنترنت من التحقق من صحة المدخلات. 


(12)http://cwe.mitre.org/top25/index.html£CWE-89 
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النموذج ال محدد للثغرات المتعلقة بالتحقق من صحة الإدخال ف JELI‏ أعلاه يدعى 
«ثغرات حقن اللغة الاستفسارية الإنشائية ال مركبة» (SQL injection vulnerability)‏ 
ويقصد بها استخدام مدخلات لغة ال (SQL)‏ غير المتَحَقق منها في التطبيقات. 

رفع ال ملفات غير المقيد: يحدث رفع الملفات غير المقيد عندما يتم قبول الملفات من 
قبل البرمجيات دون التأكد من أن الملف يتبع مواصفات دقيقة. على سبيل JULI‏ تشجع 
العديد من مواقع التجارة الإلكترونية المستخدمين على رفع صور لاستخدامهم للمنتجات 
التي تم شراؤها عن طريق الموقع. وإذا كانت تلك المواقع لا تقوم بالتحقق من أن الصور 
التي تم رفعها هي بالفعل من امتداد (pg)‏ أو (gif) slo al‏ أو غيرها من صيغ ملفات 
الصور الماثلةء فإنه من الممكن للمهاجمين أن يقوموا برفع برمجيات على ال موقع بدلا من 
رفع الصور. ومن g‏ تقوم تلك البرمجيات بمحاولة اختراق ا موقع» مثلا عن طريق سرقة 
أسماء المستخدمين وكلمات المرور. 

gibs‏ مثل هذه الهجمات من الحدوثء من المستحسن أن تعامل جميع الملفات التي 
يتم رفعها من قبل المستخدمين على uil‏ ملفات dies‏ ومن ثم يتم البحث فيها عن رموز 
الملفات الضارة. وهذا البحث لا يعد عديم الفائدة إذ إن جميع الملفات (كملفات (gif‏ 
تحتوي على حقول للملاحظات والتي قد يستخدمها المهاجمون لإخفاء الرموز الضارة. 

البرمجة النصية المشتركة للمواقع الإلكترونية: وتحدث البرمجة النصية المشتركة عند 
استخدام المدخلات العدة من قبل المستخدم دون التحقق من سلامتها بوصفها جزءا من 
ا مخرجات امُقدمة مستخدمين آخرين. وتوصف هذه الطريقة بأنها «ثغرة» لأنها الطريقة 
الأكثر شيوعاً التي يتم استغلالها من قبل المهاجمين للوصول إلى الضحايا الذين يتصفحون 
موقعا ماء حيث يقوم المهاجم بتزويد إحدى شفرات جافا سكريبت الخبيثة (scripting)‏ 
كمدخلات إلى مستخدم آخر على الموقع المستهدف وهو «الموقع الإلكتروني المشترك» 
.(cross-site)‏ ولتوضيح هذه الثغرة» نستعرض امثال gbl‏ وهو من قاعدة بيانات أخطر 
Yo‏ خطأ من أخطاء البرمجيات التي تم ذكرها آنفا. 


تأمل في صفحة بسيطة g35l‏ إلكتروني مكتوبة بلغة ال (php)‏ على النحو التالي: 
$username = $ GET['username [‏ 


echo <div class-"header"» Welcome, °. $username. “<\div>’; 
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وتهدف هذه الصفحة لأخد اسم المستخدم من نموذج الصفحة السابقة أو عنوان الموقع 
المنتهي ب (username = John?)‏ لإنشاء رسالة ترحيبية للمستخدم مثل .(Welcome, John)‏ 


http://trustedSite.example.com/welcome.php?username-«script 


Language- "Javascript" » alert ("You've been attacked! ^) ;<\Script> 


والسطر الأخير سيعرض مربع حوار تنبيهي للمستخدم. وحتى يتم عرض مربع الحوار 
نفسه ممستخدم آخرء يقوم المهاجم بإرسال بريد إلكتروني للضحية بعنوان الموقع المناسب. 
وعندما يقوم الضحية بالنقر على البريد الإلكتروني» سيتم عرض مربع الحوار التنبيهي للضحية. 

وفي المثال أعلاه لا يحدث أي ضررء لكن المهاجم الحقيقي يستطيع استغلال هذه الثغرة 
لحث الضحية على تفعيل مزيد من الأكواد الأكثر ضررا. والبرمجة النصية للمواقع المشتركة 
هى من أكثر الثغرات شيوعا لتطبيقات الإنترنت لدرجة أن لها اختصارا خاصا بها وهو (XSS)‏ 
وهذه الثغرة موجودة بشكل أو بآخر ف المواقع الإلكترونية الواسعة الانتشار ها في ذلك 
الأسماء المشهيورة ك (Facebook)‏ و (Barracuda Spam Firewall)‏ و (Mediawiki)‏ 
وهو الموقع الأساس لوقع ويكيبيدياء وغيرها من المواقع الإلكترونية المشهورة. 

تجاوز سعة المخزن المؤقت: ويقصد ب (تجاوز سعة المخزن المؤقت) الحالة التي يقوم 
فيها برنامج ما بوضع كمية من كبيرة من البيانات أكبر من سعة المخزنء وهذه واحدة من 
ثغرات البرمجيات الشائعة. وعادة ستؤدي مثل هذه الحالة إلى تحطم البرمجيات. لكن 
المهاجم. الذي لديه معرفة تفصيلية عن البرنامج» يستطيع حقن بعض المدخلات الخاصة 
بحيث تقوم المحتويات الفائضة باختراق جهاز الحاسب الآلي بطرق يمكن توقعها. ويسمح 
الاختراق عادة للمهاجمين بالاتصال بجهاز الحاسب الآلي عن بعد ومن ثم سرقة ال معلومات. 

ويُعد (تجاوز سعة المخزن المؤقت) منتشراً في البرمجيات المكتوبة بلغات برمجة غير 
مدارة (unmanaged languages)‏ كلغة (C)‏ و )++ (C‏ وتقوم لغات البرمجة المدارة 
(managed languages)‏ مثل (Java)‏ و(# (C‏ بإدارة الذاكرة والبيانات بحيث يكون (تجاوز 
سعة المخزن المؤقت) غير ممكن في البرمجيات المكتوبة بهذه اللغات. لكن يتم كتابة أكثر 
البرمجيات Le)‏ في ذلك المتصفحات الحديثة مثل كروم وفايرفكس) بلغة )++ (C/C‏ من 
أجل تحقيق التوافق عبر المنصات ask!‏ لذلك فإن القضاء على (تجاوز سعة المخزن 
المؤقت) في معظم التطبيقات الحديثة يتطلب مهارات برمجة دقيقة للغاية. 
(Y)‏ ممزيد من المعلومات بالإمكان استعراض التعليمات البرمجية ممتصفح كروم على الرابط: https://src.chromium.‏ 


org/viewvc/chrome/trunk/src/chrome/browser/?sortby-file 
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الأذونات الناقصة: وتحدث ثغرة الأذونات الناقصة عندما يسمح البرنامج للمستخدمين 
بالوصول إلى أجزاء متميزة من البرنامج دون التحقق من بيانات اعتماد المستخدم. كفا 
يحاول المهاجمون العثور على أجزاء من النظام JU.‏ التي يمكن الوصول إليها دون الحاجة 
لبيانات الاعتماد. وإذا تم العثور على هذا الجزءء فمن المرجح أن يتم استغلاله لسرقة 
معلومات مالية حساسة. وفي الواقع فإن العديد من حالات سرقة البيانات الكبيرة التي 
حدثت هي نتيجة لثغرة الأذونات الناقصة. على سبيل JULI‏ ووفقاً لنشرة «أخطر Yo‏ خطأ» 
فإن مئات الآلاف من الحسابات البنكية التابعة ل (Citigroup)‏ قد تعرضت للاختراق في 
شهر مايو من عام ۲١٠١‏ نتيجة لوجود ثغرة الأذونات الناقصة. 


البيانات غير المشفرة: وتحدث ثغرة (البيانات غير المشفرة) عندما يتم تخزين بيانات 
حساسة محليا أو عندما يتم نقلها عبر الشبكة بدون التشفير السليم. وتشمل البيانات 
الحساسة بيانات اعتماد المستخدم وغيرها من المعلومات الخاصة. ويمكن قراءة البيانات 
غير اطمشفرة والمتدفقة عبر الشبكة بسهولة باستخدام goly‏ تدعى .(sniffers)‏ ويمكن 
سرقة البيانات غير المشفرة واممخزنة في قاعدة البيانات إذا سمحت (الأذونات الناقصة) أو 
(عدم التحقق من صحة المدخلات) للمستخدمين بقراءة البيانات. وتمثل (البيانات غير 
ا مشفرة) عنصرا من عناصر سرقة البيانات الرئيسية. 


الثغرات الإجرائية: 

الثغرة الإجرائية هي عبارة عن ضعف في الطرق التشغيلية للمنظمة والتي هكن 
استغلالها لانتهاك السياسة الأمنية. ويمكن عن طريق الثغرات الإجرائية اختراق المعلومات 
حتى لو تمت إزالة جميع الثغرات البرمجية. وأهم أنواع الثغرات الإجرائية ما يلي: 

إجراءات كلمة ال مرور: حماية كلمة ا مرور هو الإجراء ا موحد المستخدم لتقليل تأثير 
العديد من الثغرات البرمجية Le‏ في ذلك (الأذونات الناقصة). و(عدم التحقق من صحة 
المدخلات)ء و(رفع الملفات الغير مقيد). وا مطلوب من ال مستخدمين إنشاء كلمات مرور 
معروفة لهم فقطء ولا يسمح للمستخدمين بالوصول إلى ا معلومات الحساسة إلا بعد إدخال 
كلمات المرور تلك. لكن كلمات ا مرور قد لا توفر الأمن الكافي إذا م تكن المنظمة دقيقة 
حول الإجراءات المرتبطة بكلمات المرور. 
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على سبيل JUL‏ إذا كانت كلمة المرور قصيرة جد («abcd» (Jia)‏ أو سهلة التخمين 
(مثلء «password»‏ أو («admin»‏ أو تعتمد على كلمة موجودة في القاموس (مثلء 
"computer"‏ أو تستخدم jose‏ من بيانات المستخدم (John» dio)‏ فإنها لا توفر الكثير 
من الحماية. às‏ حالة التحدي ممعرفة كلمة ال مرور فإن المهاحمين عادة يجربون تركيبات 
مختلفة من كلمات المرور تلك. 


ولأن هذا الموضوع يُعد مصدر قلق سائدا فإن الكثير من مزودي البرمجيات يسمحون 
لمسؤولي النظم بتحديد إجراءات كلمات ا مرور لمنع استخدام كلمات ال مرور الضعيفة. 


نصائح لكلمات المرور الجيدة 


من المستحسن استخدام كلمات مرور جيدة في الحياة الشخصية. ومن نصائح الحصول على كلمات 
مرور جيدة ما CO Jo‏ 

. الطول: استخدم كلمة مرور تتكون من AU.‏ رموز على الأقل. 

. التعقيد: استخدم كلمة المرور تتكون من أرقام وحروف ورموز وعلامات الترقيم. كلمات ا مرور 
الطويلة والمعقدة من الصعب اختراقها. 

. التغيير: قم بتغيير كلمة المرور بشكل منتظم بحيث أنه حتى لو تم اختراق كلمة المرور OB‏ هذه 
الثغرة ستزول تلقائيا. 

. التنويع: استخدم كلمة مرور مختلفة لكل موقع إلكتروني. وعلى أقل تقدير قم باستخدام اثنتين 
من كلمات المرور- واحدة للمواقع الإلكترونية الحساسة (مثل مواقع البنوك ومواقع المحلات 
التجارية) والأخرى منتديات الإنترنت» وغرف الدردشة» وغيرها من المواقع الأقل حساسية. ويقوم 
المهاجمون عادة بسرقة بيانات الاعتماد من المواقع الإلكترونية الأقل حساسية (والتي غالبا لا 
يتم تصميمها بعناية) ومحاولة استخدام بيانات الاعتماد في المواقع الإلكترونية الحساسة مثل 
مواقع البنوك ومواقع المحلات التجارية. وللحصول على معلومات مثيرة ومفصلة حول مثل هذه 
الحوادث اقراً تجربة حيمس فالوز (James Fallows)‏ المراسل الوطني طجلة (The Atlantic)‏ 
والكاتب السابق لخطابات الرئيس الأمريكي جيمي كارتر"". 





(14) www.microsoft.com/security/online-privacy/passwords-create.aspx 


(15)http://www.theatlantic.com/magazine/archive/2011/11/hacked/308673/ 


M۸‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 





النموذج الأساسي لأمن المعلومات 


إجراءات التدريب: 


كلما زاد مستوى أمن البرمجيات ركز المهاجمون على عفوية المستخدم النهائي. فالمهاجم 
قد يرسل رسائل إلكترونية قد تبدو أنها من الرئيس التنفيذي للمنظمة لكنها في الواقع 
تستخدم طريقة البرمجة النصية للمواقع المشتركة (XSS-cross-site scripting)‏ أو طرقاً 
أخرى للحصول على بيانات اعتماد المستخدم. بعد ذلك يتمكن المهاجم من استخدام 
بيانات الاعتماد تلك لتجاوز حماية كلمات ال مرور والوصل إلى ال معلومات الحساسة. وعلى 
أقل تقدير فإن على المنظمة أن تُعلن بشكل واضح أنها لن تقوم مطلقاً بإرسال رسائل 
إلكترونية ممُتطفلة تطلب من ا مستخدمين كلمات المرور أو بيانات الاعتماد. وأن مثل هذه 
الطلبات تتم بشكل رسمي» مثلاً عن طريق JU‏ في البريد العاديء أو عن طريق إرسال 
مذكرة من خلال التسلسل الهرمي للمنظمةء وغيرها من الطرق الرسمية الأخرى. 


الحد الأدنى لإجراءات تدريب أمن ال معلومات 


يجب على المنظمات اعتماد سياسة عدم سؤال الموظفين عن المعلومات الحساسة كاسم ا مستخدم 


وكلمة ال مرور من خلال البريد الإلكتروني أو المكامات الهاتفية. ويجب على جميع الموظفين في جميع 
cob sal‏ معرفة هذه السياسة. وعلى الموظفين أن يعلموا أن بإمكانهم التخلص من تلك الرسائل 
الإلكترونية بغض النظر عن مصدرها وبغض النظر عن ماهية الظروف. 





التهديدات: 

oce‏ أن نملأ كتابا كاملا من خلال مناقشة جميع تهديدات أمن المعلومات. لكن بعضا 
من تلك التهديدات اشتهرت بسبب الخسائر التي أحدثتها على مدى سنوات» ومن ثم 
حصلت تلك التهديدات على شهرة خاصة في مجال أمن ا معلومات. ولأنك ستصبح خبيرا في 
مجال أمن ا معلومات فإنه من ال مستحسن أن تكون على ele‏ بتلك التهديدات» والتي سيتم 
وصفها بإيجاز فيما يلي. 

الفيروسات/ الدودة الحاسوبية: أكثر الناس على دراية بالفايروسات والدودة الحاسوبية, 
ومعظم أجهزة الحاسب الآلي التي تباع اليوم db‏ مع إصدارات تجريبية لبرامج مكافحة 
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الفيروسات. الفيروسات والدودة الحاسوبية هي ات ERE‏ في أجهزة الحاسب 
الآلي وتنتشر من خلال الشبكة دون موافقة المستخدم. الفرق بين الاثنين هو أن الفايروس 
يستخدم برمجيات أخرى للانتشار Wa)‏ برنامج البريد الشخصي للمستخدم)» في حين أن 
الدودة تنتشر من تلقاء نفسها. ولأن (eis‏ الفايروسات والدودة الحاسوبية يعلمون Ob‏ 
مستخدمي الحاسب الآلي يستخدمون برامج لمكافحة الفيروسات فإن الدودة الحاسوبية 
والفيروسات الحديثة يتم تصميمها لإحداث أكبر ضرر ممكن في غضون دقائق من إطلاقها. 
على سبيل المثال. تم إطلاق دودة سلامر (Slammer worm)‏ في الخامس والعشرين 
من يناير من عام ٠٠١٠"‏ من خلال استغلال ثغرة (تجاوز سعة المخزن المؤقت) في خادم 
مايكروسوفت إس كيو إل .(Microsofbs SQL Server)‏ وتم اكتشاف الثغرة في شهر 
يوليو من عام 7٠0٠‏ وبعد ذلك بوقت قصير أصدرت as Sola‏ وفت تحديثا لتصحيح تلك 
الثغرة. و على الرغم من أن الأجهزة التي م يتم فيها تصحيح الثغرة هي المعرضة فقط 
للخطر فقد وصلت الدودة ل )43( من تلك الأجهزة المستهدفة في أقل من ٠١‏ دقائق"", 
مما تسبب في إصابة أكثر من ۷١,٠٠١‏ جهاز. às‏ قسم (نموذج الحالة) من هذا الفصل 
سيتم التعرض للقصة الممتعة لفيروس (ILOVEYOU)‏ 

رفض الخدمة :(Denial of service)‏ رفض الخدمة هو gll‏ غير ال مصرح به من 
الوصول إلى الموارد أو تأخير العمليات الحساسة ذات الوقت الحرج. ويتم تحقيق ذلك 
عادة من خلال عمل عدد كبير من الطلبات غير الضرورية في نظام ال معلومات. وبعد ذلك 
يتم إشغال موارد النظام المستهدف بتنفيذ الطلبات غير الضرورية» وذلك gig‏ النظام من 
القدرة على الاستجابة للطلبات المنطقية في الوقت المناسب. ويمكن تعزيز هجمات رفض 
الخدمة عن طريق نشر أجهزة حاسب آلي متعددة لعمل تلك الطلبات غير المصرح بها. 
وتسمى مثل تلك الهجمات بهجمات رفض الخدمة الموزعة وهي عبارة عن استخدام العديد 
من الأنظمة المخترقة لإحداث رفض الخدمة للمستخدمي النظام المستهدف. ولحسن الحظ 
فإنه من السهل نسبياً التعرف على سيل الطلبات الواردة إلى هدف واحد وتشخيصه بأنه 
هجوم رفض الخدمة»ء ويمكن منع تلك الطلبات بسهولة من خلال مزودي خدمات الإنترنت. 


(16) 6Moore, D.. Paxson, v.Savage, S., Shannon. c., Staniford, S., and Weaver, N. «Inside the 
Slammer worm,» IEEE Security and Privacy. July/ August 2003 
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ومعلومات مفصلة ومفيدة وممتعة عن هجمات رفض الخدمة اقرأ تقرير ستيف جيبسون 
(Steve Gibson)‏ عن هجمات رفض الخدمة ضد شركته"'. 

الانتحال :(Phishing)‏ محاولة اختراق مستخدم ما عن طريق التنكر بصفة جهة موثوق 
بها في التواصل الإلكتروني يسمى الانتحال. وتهدف هجمات الانتحال المبكرة للحصول على 
معلومات مثل اسم ال مستخدم. وكلمة المرورء وتفاصيل بطاقة الدفع الائتمانية. ويستلم 
أكثر الناس ما لا يقل عن واحدة إلى اثنتين من رسائل الانتحال الإلكترونية كل أسبوع. 
ويوضح الشكل )0-6( Ya‏ على ذلك. وتظهر رسائل البريد الإلكتروني على lil‏ صادرة من 
البنوك» وتقود تلك الرسائل الإلكترونية ا مستخدمين لزيارة مواقع إلكترونية تبدو مثل مواقع 
البنوك الإلكترونية. وف امموقع الإلكتروني يطلب من المستخدمين إدخال اسم المستخدم 
وكلمة المرور بهدف إجراء بعض التصحيح في البنك. وفي حين تظهر رسائل البريد الإلكتروني 
والمواقع الإلكترونية على أنها حقيقية إلا أنها في الواقع ليست كذلك. فنظرة فاحصة إلى 
عنوان الموقع تبين أن الموقع تم استضافته على خادم مخترق. وفي الشكل )€-0( على سبيل 
ا مثال تم استضافة الموقع على موقع مدرسة في ولاية ألاباما. 

وفي الآونة الأخيرة تم استخدام الانتحال في هجمات مركبة مع هجمات الهندسة 
الاجتماعية (social engineering)‏ والاستغلال الفوري (zero-day exploits)‏ لبدء 
تهديدات متطورة ومستمرة. وسيتم مناقشة الهجمات المرتبطة بشركة (RSA)‏ والتي تمت 
في عام ٠١١١‏ مع هجمات الاستغلال الفوري (zero-day exploits)‏ في JU‏ في هذا القسم. 

البرمجيات الخبيثة :(Malware)‏ البرمجيات الخبيثة مصطلح ele‏ بُستخدم لوصف 
البرمجيات أو الرموز المصممة خصيصاً لاستغلال جهاز الحاسب الآلي أو البيانات التي 
يحتويها دون موافقة المستخدم. والطريقة الشائعة للبرمجيات الخبيثة للوصول إلى أجهزة 
الحاسب الآلي هي طريقة التحميل المجاني» وذلك عندما يقوم مصمم البرمجيات الخبيثة 
بإنشاء برمجيات تبدو أنها مفيدة جداً ويقوم بتوزيعها مجانا. 


(17) Gibson, S. “The strange tale of the denial of service attacks against GRC.com." http://www. 


crime-research.orgllibrary/grcdos.pdf (accessed 01/13/2012). 
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وعندما يقوم المستخدم الغافل بتحميل وتثبيت تلك البرمجيات امجانية التي تبدو 
أنها مفيدة فإنه يتم تثبيت تلك البرامج الضارة معها. وتسمى هذه التقنية بتقنية حصان 
طروادة. وهناك أنواع عديدة من تلك البرمجيات الخبيثة Le‏ في ذلك مسجل المفاتيح key)‏ 
(loggers‏ وعملاء الزومبي (zombie clients)‏ وتقنية التحكم الخفي في جهاز الحاسب 
الآلي .(rootkits)‏ ومسجل اللفاتيح (key loggers)‏ هو البرنامج الذي يتعقب ضربات 
مفاتيح لوحة المفاتيح في محاولة لجمع أسماء المستخدمين وكلمات المرور. أما عملاء 
الزومبي (zombie clients)‏ فهو برنامج يتلقى الأوامر من جهاز حاسب آلي عن بعد بحيث 
يسيطر هذا البرنامج على جهاز الحاسب المصاب ويقوم من خلاله slob‏ مهام ضارة وفقاً 
للتوجيهات التي يتلقاها. ويُطلق على جهاز الحاسب الآلي المصاب اسم زومبي. po‏ 
الزومبي عادة في إرسال الرسائل الإلكترونية غير ا مرغوب فيهاء وإطلاق هجمات رفض 
الخدمة» واختراق أجهزة الحاسب الآلي في المنشآت الحساسة كالبنوك والقوات المسلحة. 
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وحصل الزومبي sl)‏ الإنسان الآلي - الروبوت) على هذا الاسم لأنه يطيع الشخص الذي 
يتحكم فيه طاعة عمياء. 

تقنية التحكم الخفي في جهاز الحاسب :(rootkits) JYI‏ وهي عبارة عن مجموعة 
من البرمجيات تستخدم لإخفاء وجود البرامج الضارة في نظام الحاسب الآلي. ويشير 
مصطلح (rootkits)‏ إلى أدوات البرنامج التي تعطي المستخدم وصولاً غير مصرح به إلى 
الجذر ss-root- jÀeJlg)‏ الحساب التنفيذي في أنظمة ينكس). كما تقوم هذه البرمجيات 
باستبدال أدوات النظام القائمة (مثل تلك الأدوات التي تستخدم لعرض العمليات-م0]- 
ومحتويات المجلدات -1-)» ومن ثم فإن النسخة المعدلة من النظام تقوم بإخفاء وجود 
المستخدم غير المصرح به. ويعد تثبيت ال (rootkits)‏ في جهاز الضحية أحد أهداف 
البرمجيات الخبيثة. 


وتستخدم ال (rootkits)‏ عادة من قبل المتسللين لإخفاء وجود البرمجيات الخبيثة 
الأخرى مثل (عملاء الزومبي) حتى لا يعلم مالك جهاز الحاسب b JI‏ تم اختراق جهازه 
silo‏ يُستخدم لإرسال رسائل إلكترونية غير مرغوب فيها أو أنه يُطلق هجمات رفض الخدمة. 

ومن بين جميع تهديدات البرمجيات فإن ال (rootkits)‏ بعد تهديداً خطيراً وذلك 
لقدرته على تدمير معايير حماية نظم التشغيل. ولهذا السبب فإنه من شبه المستحيل إزالة 
ال (rootkits)‏ من الجهاز المخترق وأنه من المستحسن في هذه الحالة إعادة تثبيت نظام 
التشغيل بالكامل. 


الاستغلال الفوري :(zero-day exploits)‏ ويتم من خلالها اختراق ثغرة م تكن 
معروفة في برمجيات الحاسب الآلي. ويُشير المصطلح إلى أن المطورين لديهم (صفر) من 
الأيام لمعالجة الثغرة التي تم استغلالها. وعلى الرغم من أن اللمطورين ليس لديهم معرفة 
بالثغرة التي تم استغلالها وقت وقوع ese]‏ فإن شخصاً ما كان على ele‏ بتلك الثغرة 
وأتيحت له الفرصة لتحديد وسيلة ما لاستغلال الثغرة بنجاح”. 
)18( يُوجد سوق مثل ذلك الاستغلال كما في المصدر التالي. Greenberg, A. «Shopping for zero-days: a‏ 
price list for hackers secret software exploits» http://www.forbes.com/sites/andy greenberg/20‏ 


shopping -for-zero-days-an-price-list -for-hackers-secretsoftware-exploits/ (accessed/23/03/12 
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شكل )£-1(: هجمة الاستغلال الفوري لبرنامج (Adobe Flash)‏ والتي تم إطلاقها في 7١11/7/7‏ 
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وأحد هجمات الاستغلال الفوري (zero-day exploits)‏ المشهورة ترتبط بشركة (RSA)‏ 
وهي إحدى الشركات الرائدة في تقنية رموز الأمان (SecureID tokens)‏ وهي تقنية 
تستخدم للتصديق الثنائي في بيئة المنظمات. ففي السابع عشر من شهر مارس من عام 
١‏ أعلنت الشركة أنه تم اختراق نظام تقنية المعلومات اللممسؤول عن توليد رموز الأمان 
مما يعني احتمالية اختراق أمن عملاء الشركة. ويعتقد الخبراء أن الاختراق كان نتيجة لهجمة 
الاستغلال الفوري المرتبط بتقنية برنامج "(Adobe Flash)‏ ومن امثير للاهتمام أنه بعد 
هذه الحادثة ب ۱۸ lig‏ قام أحد ا مهاجمين على تويتر باستخدام المعرف (yuangel9758»)‏ 
بالإعلان عن إطلاق هجمة الاستغلال الفوري المرتبطة ببرنامج (Adobe Flash)‏ (الشكل 
»)1-٤‏ مما يثير الشكوك أنها الهجمة نفسها التي تم استخدامها في الحادثة””". 


الزومبي: وهو جهاز حاسب آلي متصل بالإنترنت تم اختراقه لتنفيذ المهام الضارة 
بتوجيه من متحکم عن بعد. dls‏ اسم (زومبي) من الامتثال غير ال مشروط للتوجيهات 
عن بعد. a ads‏ الزومبي أحياناً بالإنسان (bots) JYI‏ وعموماً يكون مالكو أجهزة 
الزومبي غافلين عن الاختراق حتى يتم إعلامهم من قبل مسؤولي الأنظمة. liag‏ النوع من 
التهديدات متوفر بتكلفة معقولة حيث يصل معدل الإيجار ل ٠٠٠,٠٠١‏ إلى ٠٠‏ 


(19) http://blogs.rsa.com/anatomy-of-an-attack/ 


(20) http://jeffreycarr.blogspot.com/2011/06/18-days-from-0day-to-8k-rsa-attack.html 
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زومبي YE Bal‏ ساعة ما يقارب من ٠٠١‏ دولار”". وبشكل عام تستخدم الزومبي لأداء 
ثلاثة أنواع من الأنشطة - إرسال رسائل إلكترونية غير مرغوب فيهاء وإطلاق هجمات رفض 
الخدمة. وتنفيذ هجمات القاموس لكسر كلمات المرور. وامقالة المختصرة التالية عن أوليغ 
نيكولاينكو (Oleg Nikolaenko)‏ وروبوتات الميقا دي (Mega-D botnet)‏ تلقي مزيداً 
من الضوء على هذا العام . 


روبوتات الميقا دي (Mega-D botnet)‏ 
منذ عام ۲١٠١‏ كانت هناك صناعة مصغرة لتركيب أحصنة طروادة (Trojan horses)‏ على مئات 
الآلاف من أجهزة الحاسب الآلي» ومن ثم تأجير قدرة معالجة تلك الأجهزة على المهاجمين والمتسللين. 
ويطلق على مجموعة الأجهزة المخترقة اسم (botnet)‏ ومثال على ذلك هو وروبوتات الميقا دي 
.(Mega-D botnet)‏ وهي عبارة عن شبكة من نحو 


عن إرسال أكثر من ZY*‏ من رسائل البريد الإلكتروني المزعجة في عام ۲۰۰۸. وكان يتم تشغيل 
تلك الشبكة بواسطة شاب روسي يُدعى أوليغ نيكولاينكو (Oleg Nikolaenko)‏ وفي مقابل تلك 
الخدمات كان يُدفع لذلك الشاب الروسي مبلغ 505,0٠٠‏ دولار من قبل لانس أتكينسون Lance)‏ 
(Atkinson‏ وهو شخص من نيوزلندا ومُدان بتهمة إرسال البريد الإلكتروني المزعج. ds‏ الرابع من 
شهر نوفمبر من عام ٠٠٠١‏ اعتقل أوليغ من قبل العملاء الفيدراليين في فندق بيلاجيو في لاس فيغاس 
وذلك لمخالفته قانون مكافحة الرسائل الإلكترونية المزعجة لعام (CAN-SPAM Act) ٠٠١٠‏ 





تحسس حزم البيانات :(Packet sniffing)‏ وهو عبارة عن القيام باعتراض ومراقبة 
البيانات التي تمر عبر شبكة أجهزة الحاسب JYI‏ ويُعد هذا التهديد خطرا كبيرا على 
الشبكات اللاسلكية GM‏ البيانات غير المشفرة والمرسلة عبر الشبكة ممكن قراءتها بسهولة 
باستخدام البرمجيات اطجانية المتاحة (Wireshark- Jis)‏ واستخدام امعدات القياسية 
لأجهزة الحاسب (VI‏ مثل الكمبيوتر المحمول. ويقوم المهاجمون مراقبة نقاط الوصول 
اللاسلكية غير المشفرة في المحلات التجارية ومنشآت الأعمال بهدف سرقة بيانات اعتماد 
المستخدم لاستغلالها في وقت لاحق. ومن أكثر حوادث أمن المعلومات شهرة في الآونة 
الأخيرة هي حادثة تي جي ماكس (TJ. Maxx)‏ والتي كانت نتيجة لسرقة كلمة ال مرور 
باستخدام تقنية تحسس رزم البيانات في إحدى نقاط الوصول اللاسلكية غير المشفرة. 


(21) Ollman,G. “How criminals build botnets for profit Damballa, US Department of Defense 
Cybercrime Conference 2011, Atlanta, GA. 


(22) https://en.wikipedia.org/wiki/Oleg Nikolaenko 
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تخمين كلمات المرور: تهدف إلى الدخول على حساب مستخدم من خلال القيام المتكرر 
بتجريب كلمات مرور مختلفة إلى أن يتم العثور على كلمة المرور الصحيحة. وتتعرض 
أجهزة الحاسب الآلي الحساسة لمحاولات مستمرة لتخمين كلمات المرور. ويقوم المهاجم 
بتجريب كلمات مرور مختلفة حتى يتم العثور على كلمة ا مرور الصحيحة. وهذا الهجوم 
هو السائد بسبب أن معظم النظم تتجاهل محاولات الدخول الفاشلة المتكررة والتي 
تنشأً في تتابع سريع من نفس الجهاز. ومع ذلك فإن مسؤول النظام في بعض الأحيان قد 
يهمل الحماية اللازمة مما يؤدي لحدوث اختراق. على سبيل JUL‏ قام طالب عمره VA‏ 
عاماً في أوائل عام ٠٠١4‏ بتشغيل برنامج لتخمين كلمات المرور طوال الليل واكتشف أن 
اسم ال مستخدم لمسؤول النظام في تويتر هو «Crystal»‏ وكلمة «happiness» zgb!‏ . 
وسنناقش لاحقاً في هذا الكتاب تهديدات أخرى تتعلق بكلمات المرور. 


في المثال أعلاه يكون النظام عادة على علم بأنه من غير المألوف للمستخدم أن يقوم بتجريب 
كلمات مرور مختلفة Mia‏ معدل كلمة مرور جديدة كل ثانية A Sal‏ إلى ٠١‏ ساعات. وعند 


اكتشاف ذلك يقوم النظام بحظر ذلك المستخدم. وهذه أحد الضوابط التقنية التي سنناقشها 
في القسم التالي. 





الهندسة الاجتماعية :(social engineering)‏ وهي فن التلاعب بالناس بهدف تنفيذ 
المهام المطلوبة. وتستغل الهندسة الاجتماعية رغبة الانسان في فعل الخير وغريزة الانسان 
الطبيعية في الثقة. وكلما أصبحت التقنية أكثر أمنا أصبحت الهندسة الاجتماعية أكثر أهمية 

لوصول المهاجمين إلى الأنظمة المرغوب فيها. 
وتستخدم الهندسة الاجتماعية عادة لبدء هجمات أخرى. وتتمثل الآلية العامة للهندسة 
الاجتماعية منذ عام ٠٠٠١‏ في إرسال رسالة إلكترونية مخصصة لمجموعة صغيرة من الضحايا 
الغافلين. ويكون هؤلاء الضحايا عادة في مستويات متواضعة من التسلسل الهرمي في 
المنظمة. وتحتوي رسائل البريد الإلكتروني على مرفقات خبيثة تتضمن الاستغلال الفوري 
.(zero-day exploits)‏ وعندما يقوم أي مستخدم بفتح المرفقات يتم تثبيت برنامج 
لتدقيق جهاز الضحية. ويقوم هذا البرنامج بتمرير المعلومات إلى المُتحكم عن بعدء كما 
http://www.theregister.co.uk/2009/01/07/twitter hack explained/‏ )23( 
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هكن للبرنامج أن يستجيب للأوامر الواردة من المتحكم. وقد اعتمدت الهجمات المرتبطة 
بشركة (RSA)‏ والتي تمت في شهر مارس من عام ۲١٠١‏ على منهجية الهندسة الاجتماعية. 


الشكل (6-/1): تكرار استخدام ثغرتين من الثغرات الشائعة الاستخدام في التهديد المتقدم الدائم (APT)‏ 
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التهديد المتقدم الدائم :(Advanced persistent threat)‏ وهو هجوم بشري 
متواصل ومكثف يتم من خلاله رفع القدرات الكاملة لتقنيات التسلل لأجهزة الحاسب 
الآلي. ويهدف تصميم هذا النوع من التهديد لاختراق ا منظمات حتى لو كانت محمية 
بضوابط أمن معلومات مصممة ومصانة بشكل جيد. ولهذا السبب يتطلب هذا النوع من 
التهديد درجة عالية من التخصيص حسب الهدف. مما يعني desc d]‏ نول وا 
جيداً من المهاجمين مسؤولة عن هذا التهديد. وبسبب اختلاف التهديدات التي تندرج 
تحت هذا النوع فإن مصطلح (APT)‏ يشير عادة إلى فريق الهجوم بدلاً من الهجوم نفسه. 
والهدف العام لهذا النوع من التهديد هو استخدام الهجوم للحصول على موطئ قدم داخل 
المنظمة والمحافظة عليه من أجل الاستخدام والمراقبة المستمرة. 

ويوضح الشكل )١-6(‏ تكرار استخدام ثغرتين من الثغرات الشائعة في هذا النوع من 
التهديد وذلك في شهر إبريل من عام .۲١٠١‏ وكلا الثغرتين موجود في برنامج محرر النصوص 
(MS Word)‏ مما يسلط الضوء على خطورة الثغرات في البرمجيات الشائعة الاستخدام. 
فالثغرة المكتشفة في عام 7٠٠١‏ تم الاستمرار في استخدامها Bad‏ عام من بدء الإعلان عنهاء 
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مما يدل على تعلق المهاجمين لاستغلال الثغرات ابمجربةء ويدل كذلك على الإهمال الواسع 
في تطبيق التحديثات. ويوضح الشكل (V-£)‏ أيضاً الاعتماد السريع للثغرات الجديدة مما 
يشير إلى ضرورة التطبيق السريع للتحديثات”". 


الضوابط: 

ضوابط أمن المعلومات هي الضمانات المستخدمة للتقليل من تأثير تهديدات أمن 
ا لمعلومات. وف أنظمة تقنية ا معلومات الحديثة فإن تطبيق الضوابط المناسبة والفعالة 
من حيث التكلفة هي واحدة من أهم مهام مسؤول النظام. وما تبقى من هذا الكتاب 
مخصص لشرح مختلف الضوابط واستخداماتها. ويقدم هذا الجزء لمحة سريعة عن 
الضوابط المختلفة. 

وكما في حالة تصنيف التهديدات هناك العديد من الطرق لتصنيف الضوابط المتوفرة 
وأحد طرق التصنيف الشائعة في الصناعة هي تصنيف الضوابط إلى مادية وإجرائية وتقنية. 

الضوابط المادية: وهي عبارة عن استخدام الأساليب التقليدية غير التقنية لمنع الضرر. 
وإنها تستخدم عادة gil‏ ال مستخدمين غير المصرح لهم من القدرة على دخول المرافق 
التقنية. ومن الأمثلة على تلك الضوابط: الأقفال. طفايات الحريقء والتحقق من حسز 
سيرة المتقدمين لوظائف ال منظمة. والأبواب. 

الضوابط الإجرائية: وهي عبارة عن خطط محددة للإجراءات التي تتحكم في استخدام موارد 
أجهزة الحاسب الآلي. وتتبع الضوابط الإجرائية لاثنين من المبادئ الراسخة لأمن المعلومات: 

.١‏ فرض المساءلة الشخصية: عندما يعرف الناس أنهم مسؤولون عن أفعالهم وأنه 
بالإمكان إرجاع كل فعل إلى الشخص الذي ارتكبه فإنهم يكونون بشكل عام أكثر 
حذرا في كل ما يختص بأفعالهم. 

.Y‏ استلزام التعاون بين أكثر من شخص للقيام بالاحتيال: «عندما يسقط اللصوص 
يحصل الأشخاص الأبرياء على مستحقاتهم»”". وتشير الخبرة عادة إلى أن هناك 
تداعيات حول غنائم الجرهةء ويمكن للضوابط الإجرائية الصحيحة تعزيز الأمن من 

(24)http://blog.trendmicro.com/trendlabs-security-intelligence/snapshot-of-exploit-documents-for- 
april-2012/ 
المثل كاملاً هو «عندما يسقط اللصوص يحصل الأشخاص الأبرياء على مستحقاتهم» لكن عندما يسقط الأشخاص‎ (Y0) 


الأبرياء يحصل المحامون على أتعابهم» https://en.wikipedia.org/wiki/Lying Jim. Townsend‏ 
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خلال الاستفادة من نقطة الضعف البشرية تلك. ويتبع هذا المبدأ لمنطق إدارة 
السجلات على أساس القيد المزدوج والخاص بالإجراء المحاسبي القياسي. 
ومن الأمثلة على الضوابط الإجرائية: إجراءات الحصول على حساب الكمبيوتر 
وإجراءات رفع الميزات. وإجراءات تعديل البرمجيات» وإجراءات التوظيف. وضرورة إلزام 
ا مستخدمين بتغيير كلمات المرور بشكل دوري. 


كلما ازداد حجم المنظمات وكلما ازداد أمن تقنية المعلومات Los I‏ فإن التحدي الأساسي لأمن 
المعلومات يكمن في التأكد من القضاء على أهم blä‏ الضعف في المنظمة. وأفضل وسيلة للقيام 


بذلك تطوير إجراءات فعالة وتطبيق تلك الإجراءات باستمرار. وكقاعدة يومية فإن خبراء أمن 
المعلومات يركزون بشكل كبير على الضوابط الإجرائية. 





الضوابط التقنية: وهي عبارة عن الإجراءات الأمنية المبنية في نظم المعلومات نفسها. 
ومن الأمثلة الشائعة: كلمات ال مرورء والجُدُّر الناريةء وأنظمة كشف التسللء وتحديث 
النظام» وبرمجيات مكافحة الفيروسات. ويركز بقية هذا الكتاب بشكل كبير على تفاصيل 
هذه الضوابط التقنية. 


ومعظم ضوابط أمن ال معلومات تندرج تحت ASÍ‏ من تصنيف. على سبيل «JE‏ يمكن النظر 
إلى كلمات المرور بأنها إما ضوابط إجرائية (إجراء للوصول إلى الموارد) أو ضوابط تقنية (ضوابط 
مبنية في تقنية ا معلومات نفسها). وفي الصناعات الحساسة (كالبنوك) يُطلب من معظم الموظفين 
!2354 بإجراءات واسعة للتحقق من حسن سيرتهم وانضباط سلوكهم. ويمكن اعتبار هذا التحقق 


إما ضابطا ماديا (غير تقني ومصمم للتحكم في الوصول (SLI‏ أو ضابطا إجرائيا (إجراءات متبعة 
للتحكم في الوصول). 

oisg‏ واحدة من نقاط ضعف طرق التصنيف في نطاق أمن المعلومات حيث هكن بسهولة 
تصنيف العديد من الضوابط تحت تصنيفات متعددة. 





نموذج حالة - فيروس (ILOVEYOU)‏ 


في الخامس من شهر مايو من عام ٠٠٠١‏ تلقى العديد من مستخدمي البريد الإلكتروني 
رسائل غريبة من أشخاص يعرفونهم بعنوان «ILOVEYOU»‏ وقد احتوت تلك الرسائل 


أمن المعلومات وإدارة مخاطر تقنية المعلومات MS‏ 


الفصل الرابع 


الإلكترونية على فيروس. وعندما يقوم ا مستخدم بفتح الرسالة الإلكترونيةء يقوم الفيروس 
بإتلاف ملفات الصور على القرص الصلب» كما يقوم بإرسال نفسه على JS‏ رسالة بريد 
إلكتروني إلى المستخدمين ال موجودين في قائمة اتصال جهاز الضحية. وبالنظر إلى موضوع 
رسالة البريد الإلكتروني المثير للاهتمام» غرفت تلك الرسائل الإلكترونية في مجال أمن 
المعلومات بفيروس «جرثومة الحب». وقد أصاب هذا الفايروس ما يقارب ٥١‏ مليون جهاز 
حاسب آلي في جميع أنحاء العام. 

وكانت المتابعة القانونية لهذا الفيروس مثيرة للاهتمام لأنها أظهرت القيود ا لمفروضة 
على إنفاذ القانون في التعامل مع جرائم الإنترنت. وتمكن مكتب التحقيق الفيدرالي من 
تحديد مانيلا عاصمة الفلبين على أنها مصدر الفيروس. كما تم معرفة مصمم الفيروس 
وهو طالب جامعي جديد يدعى أونيل دي جوزمان .(Onel de Guzman)‏ لکن نشر 
الفيروس لا يعد جرهة في الفلبين في ذلك الوقت. ولذلك لا هكن ل (أونيل دي جوزمان) 
أن يُحاكم في الفلبين» كما لا هكن تسليمه إلى الولايات المتحدة الأمريكية ملحاكمته موجب 
القوانين الأمريكية لنشر الفايروسات. وفي شهر يونيو من عام ٠٠٠١‏ وتحت ضغط دولي 
كثيف eei‏ (أونيل دي جوزمان) بجرهة الاحتيال وسرقة بطاقات الدفع الائتمانية. لكن 
تم إسقاط جميع التهم لعدم كفاية الأدلة وذلك في الواحد والعشرين من شهر أغسطس 
من عام Yers‏ 

وفي نهاية المطاف أصدرت الفلبين قانونا esed‏ نشر الفايروسات» لكن ذلك القانون 
ضعيف نسبياً لأن العقوبة القصوى هي السجن Bab‏ أسبوعين وغرامة تعادل ٠٠١‏ دولار 
ol‏ 


Arnold, W. “Philippines to drop charges on e-mail virus" New York 
Times,August 22, 2000 


Brenner, S.W. “Cybercrime jurisdiction, Crime. Law and Social Change, 


2006, 46: 189206- 


Ye‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


النموذج الأساسي لأمن المعلومات 


الملخص: 

يصف هذا الفصل البيئة الأساسية لأمن ا معلومات» كما يقوم هذا الفصل بشرح مكونات 
بيئة أمن المعلومات الأربعة: الأصول المعلوماتية» وثغرات النظم» والتهديدات» والضوابط 
الأمنية. وأظهرت الأمثلة البارزة في تلك المكونات الأربع القضايا المحتمل أن تواجهها في 
مستقبلك الوظيفي. 

في هذا الفصل وفي الفصول السابقة تم تعريفك بالقضايا الهامة التي تواجهها المنظمات 
ومسؤولو الأنظمة. كما تم تعريفك ببعض امهارات التقنية الأساسية لأداء المهام الشائعة 
في إدارة الأنظمة. وتركز الفصول المتبقية من هذا الكتاب على مساعدتك في الاستفادة من 
تلك المهارات التقنية في تطبيق الضوابط التقنية الشائعة. 


أسئلة مراجعة للفصل: 


D 


Y 


اشرح بشكل مختصر النموذج الأساسي لأمن المعلومات الموضح في الشكل .)١-6(‏ 
ما الأصول ا معلوماتية؟ أعط بعض الأمثلة من حياتك الشخصية (يكفي ذكر بعض 


تصنيفات الأصول» ومن فضلك لا تنتهك خصوصيتك الشخصية عند الإجابة عن هذا 
السؤال). 


. ماهي بعض الفروق المهمة بين الأصول التقليدية (كالذهب. والعقار) والأصول 


ا معلوماتية؟ وكيف تؤثر تلك الفروق في أمن المعلومات؟ 


. ما الثغرات الأمنية؟ اذكر بعضاً من الثغرات للأصول التي جرى تحديدها في سؤال 


Y رقم‎ 


. ما قاعدة البيانات الوطنية للثغرات *(National Vulnerabilities Database)‏ 


وماذا هى مفيدة؟ 


. ما أحدث ثغرة أمنية تم تسجيلها بواسطة قاعدة البيانات الوطنية للثغرات؟ (وللإجابة 


عن هذه السؤال قم بزيارة ا موقع الإلكتروني لقاعدة بيانات الثغرات الوطنية http://-‏ 
õlg -nvd.nist.gov‏ على وصلة محرك بحث الثغرات vulnerability search-‏ 


أمن المعلومات وإدارة مخاطر تقنية المعلومات Y^‏ 


الفصل الرابع 
ع2أعدمء- ومن ثم انقر على بحث - search‏ - وذلك باستخدام القيم الافتراضية في 
جميع الحقول). 
۷. ما التهديدات؟ اذكر بعضاً من التهديدات للأصول التي تم تحديدها في سؤال رقم Y‏ 


atlas.arbor.net على الرابط‎ (ATLAS- el) قم بزيارة موقع مؤشر التهديدات‎ -A 
وفقا لتاريخ (70117/91/00) ما الهجمة الكبرى في يوم زيارتك؟‎ 


9. ما الضوابط؟ وما الضوابط الهامة التي يمكنك تطبيقها لتقليل تأثير التهديدات في 
f ola Ula‏ 
٠.اشرح‏ باختصار ثغرة (عدم التحقق من صحة المدخلات). وماذا تعد هذه الثغرة خطرة؟ 


١.اشرح‏ باختصار ثغرة (رفع الملفات غير المقيد). وما الأضرار التي يمكن أن تسببها 
هذه الثغرة؟ 
١.اشرح‏ باختصار ثغرة (تجاوز سعة المخزن المؤقت). 


e il‏ باختصار ثغرة (الأذونات الناقصة). وما الصناعات التي تكون فيها هذه الثغرة 
بالتحديد خطرة؟ 


٤.ما‏ الثغرات الإجرائية؟ 

6ه التوصيات لإنشاء كلمات مرور جيدة؟ 

Ls. V‏ الفيروسات والدودة الحاسوبية؟ وما الفرق الأساسي بينهما؟ 

۷.قدم ملخصاً موجزاً عن فيروس (ILOVEYOU)‏ وآثاره. 

.ما الانتحال $(Phishing)‏ 

.ها البرمجيات الخبيثة *(Malware)‏ 

٠.ما‏ تقنية التحكم الخفي في جهاز الحاسب (rootkits) JYI‏ ومماذا تعد هذه التقنية 
خطيرة؟ 

Gs. Y‏ الزومبي؟ وفيم يتم استخدامها عادة؟ 


۲ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


النموذج الأساسي لأمن المعلومات 


adag] Gs. YY‏ اللجفيافيةة ds lbs.‏ تيديدا معزايد الأهميةة 
Gs. YY'‏ الضوابط المادية؟ وطاذا تعد هذه الضوابط مهمة؟ 
٤.ما‏ الضوابط الإجرائية؟ وماذا تعد هذه الضوابط مهمة؟ 
Us. YO‏ الضوابط التقنية؟ وطاذا تعد هذه الضوابط مهمة؟ 


أسئلة على نموذج الحالة: 
.١‏ ما دافع (دي جوزمان) وراء إطلاق فيروس S(ILOVEYOU)‏ 
.Y‏ ما عقوبة إنشاء و/أو نشر فيروس في بلدك؟ 
Y‏ عادة تعطي القوانين للقضاة leg‏ من الحرية في تحديد العقوبات بناءً على وقائع 
القضية. اعتمادا على إجابتك عن سؤال رقم Y‏ أعلاهء ما العقوبة التي ستحددها ل 
(دي جوزمان)؟ 


.٤‏ ماذا اخترت تلك العقوبة؟ 


نشاط التدريب العملي - أمن خادم الشبكة: 


à‏ محاولة لإعادة تصميم اموقع الإلكتروني لجامعة ولاية الشمس اممشرقة. تم تطوير 
تطبيق للبحث في دليل ال موقع. ويسمح هذا التطبيق بالبحث عن أسماء طلاب الجامعة 
وأعضاء هيئة التدريس والموظفين وكذلك عناوين بريدهم الإلكتروني. وقبل إطلاق موقع 
الجامعة» طلب منك العمل مع فريق لتقييم أمن الموقع. 

باستخدام آلة لينكس الافتراضية التي قمت بضبطها في الفصل الثاني افتح متصفح الإنترنت 
من خلال النقر على أيقونة فايرفوكس (Firefox)‏ في الشريط الموجود أعلى الشاشة (الشكل .)۸-٤‏ 

[http://www.sunshine.edu شريط العنوان أدخل العنوان التالي:‎ à 

في حقل (الاسم الأول) اكتب (william)‏ ومن ثم انقر على إرسال (Submit)‏ 

انقر على زر الرجوع (Back)‏ للرجوع إلى شاشة البحث 


أمن المعلومات وإدارة مخاطر تقنية المعلومات ۳ 





الفصل الرابع 


اكتب ما يلي في حقل (الاسم الأول): 


william" OR 2-0 


أسئلة على نشاط التدريب العملي: 
.١‏ كم عدد نتائج البحث التي تم العثور عليها في البحث الأول؟ 
Y‏ هل حصلت على المزيد من نتائج البحث بعد تغييرك للمدخلات؟ 
Y‏ اكتب باختصار (فقرة إلى فقرتين) ملخصاً للنتيجة التي وصلت إليها والتي سيتم 
عرضها على إدارة جامعة ولاية الشمس ال مشرقة. تأكد من احتواء الملخص على: 
٠‏ ما الثغرة أو الثغرات التي يعاني منها هذا التطبيق؟ 
٠‏ ما الأسباب التي تشعرك بوجود الثغرات؟ 


e‏ ما الأضرار المحتملة لتلك الثغرات؟ 


الشكل (6-6): استخدام متصفح الإنترنت في الآلة الافتراضية 


ME 63°F ارصسد‎ 17, 605 FM Alice Adams 





أمن المعلومات وإدارة مخاطر تقنية المعلومات 


النموذج الأساسي لأمن المعلومات 


تمرين التفكير النقدي-الإنترنت» و«القيم الأمريكية», والأمن: 

تبعاً للتفكير التقليدي فإن أكبر أسباب مشكلات أمن المعلومات تعود إلى عدم el‏ 
مصممي الإنترنت ببناء الأمن في التقنيات الأساسية للإنترنت مثل بروتوكول التحكم بالنقل 
(TCP)‏ وبروتوكول الإنترنت (IP)‏ فعند احتواء تلك التقنيات على الأمن سيكون لدينا 
بنية معلوماتية تحتية أكثر zal‏ 

لكن أحد الكتاب في مجلة (IEEE Security and Privacy magazine)‏ وهو دان 
قير (Dan Geer)‏ والذي يعمل T‏ تنفيذياً لأمن ا معلومات في شركة «In-Q-Tel)‏ 
وهي شركة غير ربحية تستثمر رأس مالها في التكنولوجيا وتدعم وكالة الاستخبارات المركزية 
(CIA)‏ أكد أن مصممي الإنترنت رسخوا تفسيرهم «للقيم الأمريكية» في تقنيات الإنترنت 
الأساسية. وهذا هو السبب في كون برتوكول الإنترنت (IP)‏ وهي التقنية المسؤولة عن نقل 
البيانات عبر الإنترنت» «مفتوحا وغير هرمي» «Cal Gia‏ وبمجرد أن تغادر البيانات 
جهازك الشخصي. لا يكون لديك أي وسيلة للتحكم في كيفية تسليمها للجهة ALAS‏ 
وبالنسبة لحكومات الدولء لا يوفر بروتوكول الإنترنت أي آلية لفرض قيود على تدفق 
المعلومات من خلال الارن ياش eli‏ تقد وضول Lal‏ هوق للإنارنت» ومين دان 
قير (Dan Geer)‏ إلى أن الإنترنت قد تصبح مصدراً ناجحا جداً لتصدير الثقافة الأمريكية, 
ومن ثم يكون الإنترنت قادراً على إحداث الانفتاح وحرية الحصول على المعلومات أينما 
تم اعتمادها. 

lots elo‏ على وجهة النظر تلك فإن دان قير (Dan Geer)‏ يعتقد أن نقص الأمن في 
dich Uca Ca cu‏ حضدرا للقوة لسن مدر شعت فار خط من 
المستخدم النهاي تحمل مسؤولية الأمن الخاص به بدلا من الاعتماد على الأمن الذي توفره 
dud‏ الإنترنت. وفي الوقت الذي لا تتحمل فيه الإنترنت مسؤولية الأمن فإنها أيضاً لا تقيد 
أي مستخدم من الاتصال بأي مستخدم o2]‏ ومن ثم تحمي حقوق المستخدمين في حرية 
الترابط. وقد تحد الإنترنت الآمنة من تلك الحرية باسم الأمنء وذلك بطلب إذن من مزود 
خدمة الإنترنت عند الرغبة في الوصول إلى مصادر معينة. 


أمن المعلومات وإدارة مخاطر تقنية ال معلومات ۰0 


الفصل الرابع 


Geer, D.E. Jr. ^A time for choosing," IEEE Security and Privacy, January/ 
February 2011, 9695- 


أسئلة على تمرين التفكير النقدى: 
.١‏ كيف هكن للبنية التحتية للمعلومات أن تكون أكثر أمناً إذا تم إدخال تقنيات DUI‏ 
مثل تقنية التشفير؟ 
. كيف هكن أن يصاب استخدام الإنترنت بالشلل إذا تم إدخال أمان أكثر للتقنيات 
الأساسية للإنترنت؟ 
so .۳‏ على إجابتك عن السؤالين السابقين. هل تتفق مع دان قير (Dan Geer)‏ على 
اعتبار أمن الإنترنت من مسؤوليات اممستخدم النهائي؟ 


تصميم حالة: 
طلب قسم نظم المعلومات الإدارية في جامعة ولاية الشمس المشرقة منك أن تقوم 
بزيارة قصيرة للقسم. وف الواقع هناك قلق في القسم بشأن الأمن الشامل للبيانات ويرغب 
القسم في الحصول على رأي مستشار خارجي بخصوص: )١(‏ المشكلات الرئيسة الواضحة 
التي تم العثور عليهاء 9 (Y)‏ ما يمكن فعله لتقليل ظهور تلك المشكلات. 
وفيما يلي بعض الأمور التي وجدتها أثناء زيارتك: 
.١‏ «غرفة الخادم» عبارة عن خزانة حراسة وفي زاويتها مصدر للطاقة المتواصلة (UPS)‏ 
وفيها أيضا سبعة خوادم مثبتة على الرفوف. 
.Y‏ تحتوي ثلاثة من تلك الخوادم على بطاقة واحدة فقط للشبكة network card)‏ 
وسلك الشبكة لبقية الخوادم الأربعة موصول في محول الشبكة نفسه. 
۳. يبدو أن مصدر الطاقة المتواصلة (UPS)‏ يعمل بسعة نسبتها (A)‏ ويتوقع الفني 
أن وقت عمل مصدر الطاقة يصل إلى 0 دقائق قبل أن يتوقف. 


Ya‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


النموذج الأساسي لأمن المعلومات 


.٤‏ يحتفظ العديد من الأساتذة الباحثين بخوادمهم في مكاتبهم. 

5. أخصائي الدعم الفني يستخدمون كلمة ال مرور الخاصة بمسؤول النظام نفسها للوصول 
إلى جميع الوحدات الطرفية في القسم. 

اذكر ما لا يقل عن خمسة من التهديدات التي تجدها في القائمة أعلاه. بعد ذلك اقترح 


خمسة من الضوابط التي يمكن إضافتها للقضاء على تلك التهديدات. واحرص على أن تكون 
إجابتك مكتملة قدر الإمكان. 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات v.v‏ 


۲۰۸ 


الفصل الخامس 
تحديد الأصول والتعرف على خصائصها 
نظرة عامة: 


لقد رأينا أن أمن معلومات يرتبط بالأصول المحددة إذ إن جميع الأنشطة المتعلقة 
بأمن المعلومات كالضوابط الأمنية» وبرامج التعافي من الكوارث واستمرارية العملء وتقييم 
المخاطرء يجب أن ترتكز على حماية خصوصية أصول ال منظمة وتكاملها وجاهزيتها. وقد 
يؤدي تحديد الأصول غير المرضي عنها إلى بقاء الأصول الثمينة دون حماية في حين تقضي 
ا لمنظمة وقتها في حماية الأصول ذات القيمة المنخفضة. ومن ثم فإن تحديد الأصول 
وتصنيفها هو أساس برنامج أمن المعلومات. 

وسنقوم في هذا الفصل بوصف الأصول المهمة في المنظمات. كما سنقوم بدراسة كيف 
يمكن تحديد هذه الأصول وتصنيفها. وسنناقش في الفصول القادمة كيفية حماية هذه 
الأصول. وفي نهاية هذا الفصل سوف: 

٠ه‏ تكون على دراية ببعض المشكلات ذات العلاقة بالمحافظة على أصول تقنية 

ا معلومات. 
٠‏ يكون لديك فهم أساسي لرسالة المنظمة. 
٠‏ تكون مدركا لكيفية تصنيف أصول المنظمة وذلك بابمواءمة مع رسالة المنظمة. 


٠‏ تكون مدركاً لقضايا إدارة الأصول ما في ذلك دورة الحياة والملكية. 


مقدمة حول الأصول: 


الهدف من تحديد الأصول وتصنيفها هو الجمع الاستباقي لجميع المعلومات الضرورية 
في الاستجابة للتهديدات التي تؤثر في أصول المنظمة. وينبغي أن يؤدي تحديد الأصول إلى 
نشر آليات المراقبة ا مطلوبة بحيث تستطيع المنظمة معرفة الهجمات» ومن ثم مكنها اتخاذ 


أمن المعلومات وإدارة مخاطر تقنية المعلومات ۹ 


الفصل الخامس 


الإجراءات اللازمة. وفي حال عدم وجود التحديد والتصنيف الفعال للأصول فإن المنظمة 
قد تكون غير مدركة للمخاطر المحيطة بها. وقي الواقع يشير التقرير المتعلق بتحقيقات 
اختراق البيانات الصادر من شركة فيريزون (Verizon)‏ في عام ۲١٠۱۲‏ إلى أن CY)‏ من 
جميع حوادث أمن المعلومات تم تحديدها من قبل طرف ثالث وذلك بعد أسابيع أو أشهر 
من وقوع الضرر'". ومن المفيد أن تقوم بنفسك بتحديد الأصول قبل أن يقوم خصومك 
بتحديدها لك. 

وفي الفصل الرابع عرّفنا الأصول بأنها الموارد أو المعلومات التي يجب حمايتها. لكن 
كيف يمكنك أن تعرف ما الذي يتوجب حمايته؟ ما هو جدير بالحماية في منظمة ما قد 
لا يُعد مهما في منظمة أخرى. على سبيل مثالء قد تكون مجموعتك الموسيقية أحد أغلى 
الأصول لديك لكن صاحب العمل قد لا يهتم كثيراً لذلك. لذا فإن تحديد الأصول وتصنيفها 
تعد إل ls dom‏ عملية $058 لكل هة 

do‏ حين أنه لا يمكن تطوير قانئمة مُبسطة لتحديد الأصولء فإنه يمكن تطوير بعض 
الإجراءات للقيام بذلك. وعلى مر السنوات الماضية el‏ خبراء الصناعة بنشر خبراتهم الجماعية 
ذات العلاقة بتأمين الأصول المعلوماتية على شكل معايير مختلفة لصناعة أمن المعلومات. 
أيزو ۲۷٠١۲‏ (والمعروف سابقاً باسم أيزو (YWAN‏ هو معيار أمن المعلومات الذي أصدرته 
امنظمة الدولية للمعايير (International Organization for Standardization)‏ وهذا 
jJ atl‏ يحدد إجراءات الحفاظ على الأمن ها في ذلك توصيات تحديد الأصول وتصنيفها. 
ويعد نموذج (أهداف التحكم للمعلومات والتقنية ذات العلاقة) Control Objectives)‏ 
(for Information and Related Technology‏ مو BA EN‏ پستخدم عادة من قبل 
مدققي الحسابات ويتناول أيضاً تصنيف أصول تقنية المعلومات. وفي هذا الفصل سنعمل 
على تطوير إجراءات لتحديد الأصول وتصنيفها عن طريق تجميع هذه المبادئ التوجيهية. 

على مستوى عال في المنظمة يتضمن تحديد الأصول وتصنيفها سرد جميع أصول تقنية 
المعلومات» وتوصيف أهمية كل أصل بالنسبة لأمن معلومات ا منظمة مع إيلاء الاهتمام 
لنظم تقنية المعلومات التي يعمل ضمنها JS‏ أصل. 


(1) Verizon (2012). 2012 Data breach investigations report. (p. 3) 


AE‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 





تحديد الأصول والتعرف على خصائصها 


وبشكل عام يمكن تصنيف جميع الأصول إلى نوعين: أصول عامة وأصول ذاتية. الأصول 
العامة هي الأصول التي توجد في معظم المنظمات» axis‏ البريد الإلكتروني مثالا على الأصول 
العامة. وفعلياً تستخدم جميع المنظمات رسائل البريد الإلكتروني وسيلة أساسية للتواصل, 
وعملياً ستنظر تلك المنظمات لرسائل البريد الإلكتروني على أنها أصل يستحق الحماية. 
ويمكنك وضع قوائم لهذه الأصول العامة من دون أي معرفة خاصة بالمنظمة بناء على 
الخبرة السابقة والمناقشات مع الزملاء أو البحث على الإنترنت. 

ببق a (a3 dame‏ كن وف رخات الطلات Vs‏ عن الأصول E EE‏ ودنك ن 
الجامعات واممؤسسات التعليمية الأخرى تنظر إلى كشوف الدرجات على uil‏ أصول ضرورية 
يحق للخريجين طلبها في أي وقت من حياتهم. ويمكن للخريجين إقامة دعاوى قضائية في 
حال عدم حصولهم لفرص وظيفية نتيجة لفشل الجامعة في إصدار كشوف درجات عند 
طلبهم لتلك الكشوف. لكن من غير المحتمل أن تقوم الشركات بالاهتمام كثيراً بكشوف 
درجات الموظفين. وباستثناء بعض الصناعات المنظمّة (مثل الطب (Arabs‏ فإن التدرج 
الوظيفي لشخص يعمل في عمل ما لبضع سنوات يعتمد على أدائه الشخصي وليس على 
كشف درجاته. ولذلك فإنه عندما يتم التعاقد مع الموظفين فإن أرباب العمل قد لا يهتمون 
بحفظ كشوف درجاتهم» ومن ثم تعد كشوف الدرجات (أصولاً ذاتية). الأصول الذاتية هي 
الأصول المميزة والخاصة للمنظمة» ويتطلب التحديد السليم للأصول الذاتية في المنظمة 
loge‏ كبيراً كما يتطلب ذلك الاهتمام بأدق التفاصيل. 

وبالنسبة للموظف أو المحلل فإن تحديد الأصول الذاتية يتطلب تحديد العمليات 
والإجراءات والأنشطة لضمان أن المنظمة تعمل بقدرتها المثالية. ويبدأ ذلك بطرح سؤال 
جوهري هو: ما الذي تفعله هذه المنظمة بالضبط؟ وقد تظهر الإجابة عن هذا السؤال 
بسيطة جداً مثل «هذه الشركة تبيع السيارات» أو «هذا ا محل يقوم بقص الشعر». لكن 
لتحديد جميع الأصول ذات العلاقة بالمنظمة يحتاج المحلل الأمني إلى أن يتعمق أكثر في 
الموضوع» وذلك لتحديد الأمور الهامة مالي المنظمة وعملائها وموظفيها. 
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الفصل الخامس 


تحديد الأصول الهامة للمنظمة: 
وهناك نموذجان لتحديد الأصول الذاتية الهامة للمنظمة: نموذج تصاعدي (من أسفل 
إلى el‏ ونموذج تنازلي (من uel‏ إلى أسفل). 


النموذج التصاعدي: التحدث مع زملاء العمل: 

النموذج التصاعدي هو ما يحدث عادة عند توظيف شخص ما. كما يشار غالباً إلى هذا 
النموذج ب «منحنى التعلم» وهي الفترة الزمنية التي يستغرقها الموظف الجديد للتأقلم 
مع عادات العمل واحتياجات المنظمة. وفي هذه الفترة إما أن يتم تسليم الموظف الكثير 
من الوثائق لقراءتها وفهمهاء أو أن يتم ربطه مع زملاء من ذوي الخبرة لتعليمه كيفية slo]‏ 
العمل. وتعد هذ الفترة فرصة مثالية للموظف الجديد لتحديد أهمية عمليات dues‏ 
بالنسبة للمنظمة. كما أنها فرصة للبدء في تحديد مدى ارتباط العناصر الغامضة بتحقيق 
أهداف المنظمة. 

do‏ حين أن من المرجح أن يكون الموظف على علم بامموضوعات التي تجعل المنظمة 
ملائمة للعملاء يتوجب معرفة ما هو مهم لعمليات المنظمة وربط احتياجات المنظمة 
باحتياجات العملاء. ولا يوجد أحد يعرف طبيعة العمل الداخلي في المنظمة باستثناء 
الأفخاص الذين يتعاملون مع قضايا العمل اليومية. على سبيل JEL‏ يستطيع الموظف 
الحالي لفت انتباه الموظف o dac aedi‏ طا في خادم خدمة اسم المجال 
(DNS server)‏ قد diss‏ أحد التطبيقات الضرورية لعمليات ال منظمة والذي يصل سعره 
ل Y‏ مليون دولار. 


النموذج التنازلي: فهم أهداف المنظمة: 


وبالإضافة إلى النظر إلى المنظمة من أسفل إلى أعلى من خلال المحادثات مع موظفي 
العمليات, فإن فهم أهداف المنظمة من وجهة نظر القيادات التنفيذية هو أيضا مهم جدا. 
ويمكن القيام بذلك دون الوصول المباشر إلى القيادات التنفيذية في المنظمة. ويعد قسم 
التقارير السنوية وقسم «من 523« في الموقع الإلكتروني للمنظمة من مصادر المعلومات 


1۲ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


تحديد الأصول والتعرف على خصائصها 


«aal‏ ]5 تستخدم الإدارة العليا تلك الأقسام لتوصيل أولوياتهم الشخصية للعام. كما 
تعد بيانات الرؤية وبيانات الرسالة من مصادر جمع المعلومات من أعلى إلى أسفل حيث 
تستخدم تلك البيانات من قبل قادة المنظمة للتعبير بوضوح عن قيم وأولويات المنظمات 
التي يُشرفون عليها. 

بيان الرسالة هو تعبير قصير (يُفضل أن يكون جملة واحدة أو جُملتين) عن خدمات 
ا منظمة, والسوق المستهدف» والميزات التنافسية. ويقوم بيان الرسالة بإخبار أصحاب 
المصلحة (كالموظفين والعملاء وا موردين) عن أولويات المنظمة كما يقوم البيان بتذكير 
الفريق القيادي بالكيفية التي سيتم بها قياس النجاح في المنظمة. أما بيان الرؤية فيقوم 
بالإفصاح عن تطلعات المنظمة. كما يقوم بيان الرؤية بتحديد غايات المنظمة لكنه يقوم 
بالتحدث فقط إلى ال موظفين حيث يقوم بإيصال قيم ومعتقدات المنظمة. digg‏ بيان 
الرؤية أساساً لتوقعات أداء الموظفين وسلوكهم في المنظمةء كما oce‏ لرؤية المنظمة إيصال 
فلسلفة عمل المنظمة إلى العملاءء وذلك بوصف ما هو متوقع عند التعامل مع المنظمة. 

ca o eder 3‏ والتقارين Ubro]‏ من ceti‏ تبذك خود فاقيا مين أل 
تمييز المنظمة عن المنظمات ال منافسة: فإن الفحص الدقيق لتلك الوثائق مكن أن يكشف 
عما هو مهم بالنسبة للمنظمة. وفي حين أن تلك البيانات توصف غالباً بأنها سامية وعامة, 
ينبغي بذل الجهد لمعرفة ما يعتقده قادة المنظمات بأنه مهم بشكل استثنائي للمنظمة. 
وفيما يلي نعرض بعضا من الأمثلة على حوادث أمن المعلومات التي حدثت مؤخراء كما 
نعرض بيانات الرسالة للمنظمات المرتبطة بتلك الحوادث. 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات 1۳ 


الفصل الخامس 


الشركة البريطانية لأنظمة الفضاء الإلكترونية (British Aerospace Electronic Systems)‏ 
وهي شركة بريطانية رائدة توفر منتجات الدفاع والأمن بدءاً من الخدمات الإلكترونية والدعم 
العسكري ووصولاً لمعدات الحماية والأنظمة الإلكترونية للمهام الحرجة. ووفقاً لموقع الشركة 
الإلكتروني'" فإن رسالة المنظمة هي «تحقيق نمو مستدام في حقوق المساهمين من خلال 
التزامنا بالأداء الشامل». وهذه الرسالة ليست ميزة خاصة للشركة. لذا انتقلنا لبيان الرؤية 
والتي تنص على «شركة الفضاء الأمنية العاممية الرائدة». 
وستجد ما يلي مدرجاً في التقرير السنوي ضمن الإجراءات الإستراتيجية": 

تحسين الربحية وتطوير القدرة على توليد السيولة. 

نمو أعمال الأمن والذكاء السايبري (الإلكتروني). 

نمو الأنظمة الإلكترونية. 

تحفيز القيمة من أوضاع ا منصات والخدمات. 

٠‏ زيادة أعمالنا الدولية. 

وتشير هذه التصريحات إلى أن الأمن والذكاء السايبري والأنظمة الإلكترونية هي الأعمال 
الأساسية للمنظمة. ومن المرجح أن تكون البيانات في هذه المجالات ذاتية بالنسبة للشركة. 
وفي الواقع كانت الشركة في عام ۲٠١۷‏ ضحية لأحد الأخطار المتقدمة المستمرة Advanced)‏ 
"(Persistent Threat‏ . وهي عبارة عن اختراقات متطورة للغاية تظل مخفية في شبكة المنظمة 
وتقوم بتسريب المعلومات للقراصنة الخارجيين. ويتم عادة نشرها من قبل الوكالات الحكومية 
وذلك للتجسس على التطورات التكنولوجية في الدول الأخرى. كما تم استخدامها لسرقة وثائق 
التصميم المتعلقة بالطائرات المقاتلة من طراز (Yo-F)‏ حيث كانت شركة (BAE)‏ هي الشركة 
المتعهدة المسؤولة عن تلك التصاميم. ويبدو أن تلك التصاميم المسربة من شركة (BAE)‏ قد 
ساعدت الحكومة الصينية في تطوير مقاتلة من طراز (Y+-J)‏ والموضحة في الشكل .)١1-0(‏ 





(2) http://www.baesystems.com/en/our-company/about-us/our-culture 


(3) التقرير السنوي للشركة البريطانية لأنظمة الفضاء www.baesystems.com/cs/groups/public/ 4595$Jy|‏ 
documents/document/mdaw/mdu2redisp/baes 045566.pdf‏ 


(4) After latest F-35 hack, Lockheed Martin, BAe Systems, Elbit under multiple cyber attacks....right 


now, https://theaviationist.com/2012/03/14/f35-anonymous-attack/ 
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شركة ياهو 
تأسست شركة ياهو في عام 1196 من قبل طالبي دكتوراه في جامعة ستانفورد وهما ديفيد فيلو David)‏ 
(Filo‏ وجيري (Jerry Yang) go‏ ومنذ ذلك الحين تطورت الشركة لتصبح أحد شعارات الإنترنت الكبرى 
التي تقدم خدمات البحث والمحتوى العمودي وغيرها من الخدمات الشبكية الأخرى. وفي السنوات 
القليلة الماضية أصبحت الشركة تكافح على المنافسة في سوق تسيطر عليه الشركات العملاقة مثل جوجل 
ومايكروسوفت. وفي شهر يناير من عام 0 جلبت الشركة رئيساً تنفيذياً جديداً لمحاولة «إشعال 
الابتكار ودفع عجلة النمو». وبعد ستة أشهر فقط من العمل غيرت ياهو الاتجاه مرة أخرى وذلك بجلب 
ماريسا (Marissa Mayer) „l‏ الموظفة رقم ۲۰ سابقاً في جوجل. 
وفقاً للمعلومات الممتاحة للمساهمين ف الموقع الإلكتروني OSU‏ تنص رسالة الشركة على أن «ياهو 
شركة الوسائط الرقمية الرائدة». أما رؤية الشركة فتنص على أن sab»‏ تحدث تجارب رقمية شخصية 
dies‏ وهي تُبقي أكثر من مليار شخص متصلاً Le‏ هو مهم بالنسبة لهم عبر الأجهزة وفي جميع أنحاء 
العالم. وبذلك نقدم لك الطريقة التي تناسب ble‏ وأسلوبك. والدمج ا مميز الذي تقوم به شركة ياهو 
بين العلم والفن والمقياس يربط بين المعلنين والعملاء الذين يبنون أعمالهم». 
ds‏ حين أن هذه البيانات (بيانات الرؤية والرسالة) تبدو بأنها عامة فإنها تشير إلى أن ملامح الشركة الذاتية 
ستشمل معرفة تفضيلات ال مستخدمين والذين يمثلون حصة كبيرة من مستخدمي الإنترنت في العام مما 
يجعلها هدفاً مرغوباً فيه للمهاجمين محاولة الحصول على بيانات اعتماد المستخدمين. وفي شهر يوليو من 
عام ۲١٠۲‏ حدثت dj‏ بسيطة في تصميم أحد خدمات الشركةء وهي خدمة صوت ياهو «Yahoo Voice)‏ 
مما أدى إلى تسرب ما يقارب من 20٠‏ ألف من بيانات اعتماد العملاء من خوادم ياهو 9( 





الشكل :(Y-0)‏ مقاتلة من طراز (Y*-J)‏ 





(5) Yahoo Investor FAQ, http://yhoo.client.shareholder.com/faq.cfm 


(6) How The Yahoo Voices Breach Went Down, http://blog.imperva.com/2012/07/how-the-yahoo- 


voices-breach-went-down.html 
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جامعة نبراسكا - لينكولن (University of Nebraska - Lincoln)‏ 
في عام 1879 كانت جامعة (نبراسكا - لينكولن) جامعة مُستأجرة: lol‏ اليوم فتعد هذه الجامعة واحدة 
من المؤسسات التعليمية الرائدة في البلادء كما تعد جامعة رائدة في البحوث لتبنيها مجموعة واسعة 
من المشروعات البحثية ا ممولة من eal‏ والتي تهدف إلى توسيع المعرفة في مجال العلوم التطبيقية 
والعلوم الإنسانية. وفي خريف عام ۲١٠١‏ بلغ عدد الطلاب والطالبات الملتحقين بها ما يقارب yo‏ ألفا. 
ووفقاً لموقع الجامعة الإلكتروني فإن المهام الثلاث الرئيسية للجامعة هي التدريس والبحوث والخدمة 
الاجتماعية. كما يحدد الموقع الإلكتروني القيم التالية للجامعة": 
e‏ تعليم يهيئ الطلاب لنجاح الحياة ويهيئهم للقيادة. 
٠‏ السعي للتميز دون تهاونء والإنجاز بدعم البيئة التي تحتفل بنجاح كل شخص. 
٠‏ تنوع الأفكار والأشخاص. 
٠‏ امشاركة مع المؤسسات الأكاديمية, والأعمال التجاريةء وا مجتمعات المدنية في جميع أنحاء ولاية 
نبراسكا والعام. 
e‏ البحوث والأنشطة الإبداعية التي تثري التدريس» وتعزز الاكتشاف. وتسهم في الازدهار الاقتصادي 
وجودة حياتنا. 
٠‏ إدارة الموارد البشرية وامادية والمالية المودعة تحت رعايتنا. 
ومرة أخرى فإن هذه البيانات تبدو بأنها dale‏ نسبياً للجامعة. لكنها pis‏ إلى أن معظم المعلومات 
الذاتية التي في حوزة الجامعة هي المواد الدراسية ومعلومات الطالب. وفقدان تلك المعلومات 


قد يضر الجامعة. وفي شهر مايو من عام 7١١7‏ أدى خرق نظام معلومات الطلاب في الجامعة“ 
إلى تسريب محتمل للمعلومات الشخصية ل 506 ألف طالب Le‏ في ذلك أرقام الضمان الاجتماعي. 
ويتجاوز العدد (106 ألفا) بشكل كبر عدد الطلاب ال ملتحقين بالجامعة لأن الجامعة تحتفظ بسجلات 
لجميع الخريجين. وبالإضافة إلى ذلك فإن العديد من الجامعات تحتفظ على الأقل ببعض ال معلومات 
الخاصة بجميع المتقدمين للجامعة. وعلاوة على ذلك فإن بعض الجامعات تجذب lola] Laf‏ كبيرة 
من الطلاب من خلال البرامج غير الأكادهية مثل البرامج الإثرائية الصيفية. 





ويظهر من هذه الأمثلة أن من ا مرجح أن تكون تلك المنظمات مُستهدفة للحصول على 
المعلومات الذاتية التي في حوزتها. ومن خلال فحص المبادئ التوجيهية للمنظمة يمكن 

تحديد مثل هذه المعلومات على الرغم من أن هذا الفحص ليس طريقة علمية دقيقة. 
http://www.unl.edu/about-unl/role-mission/‏ )7( 


(8) http://nebraska.edu/security 
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تحديد الأصول والتعرف على خصائصها 


أنواع الأصول: 

أثناء قيامك بتحديد الأصول في منظمتك فإنه من ال مفيد معرفة ما الذي تبحث عنه. ما 
الأنواع المختلفة للأصول في المنظمة؟ وف حين أن بعض المنظمات لديها أصول فريدة جداً 
فإن أهم الأصول التي من المحتمل أن تواجهها في أمن المعلومات هي الأصول التاليةء هذه 
الأصول موجودة في جميع المنظمات بشكل أو بآخر وسوف ننظر في كل منها فيما يلي: 

ه٠‏ الأصول اللعلوماتية. 

٠‏ الأصول الوظيفية. 

٠‏ أصول مكونات الحاسب الآلي المادية. 

ه٠‏ الأصول البرمجية. 


٠‏ الأصول القانونية. 


الأصول المعلوماتية: 

الأصول المعلوماتية هي المحتوى الإلكتروني المحفوظ وال مملوك من قبل فرد أو منظمة. 
وفي الغالب تكون هذه الأصول أهم الأصول في المنظمة من وجهة نظر أمن المعلومات. 
وتنطوي e‏ هجمات أمن المعلومات المتعمدة على المنظمات على محاولات لسرقة 
البيانات. وتعد الحوادث التي تؤدي إلى فقدان البيانات الأكثر إيلاماً (مثل تحطم الأقراص 
العا فخا ان امات ذلك ان Gan ne‏ مز عناص تخوت الأول م 
البحث عن البيانات وا معلومات الهامة للمنظمة. 


وتشمل الأصول المعلوماتية الملفات الفردية كالصور والفيديو والملفات النصية. كما 
تشمل المحتويات الرقمية الأخرى مثل البيانات ال موجودة في قواعد البيانات. وتكون تلك 
الأصول مخزنة إما على أجهزة مملوكة للمنظمة (محلياً) أو على أجهزة يمكن الوصول إليها 
في السحابة الإلكترونية» وذلك في كثير من الأحيان كجزء من الخدمات ال مقدمة من قبل 
طرف ثالث ويحكمها الاتصال مع المنظمة. 


أمن المعلومات وإدارة مخاطر تقنية المعلومات ۷ 


الفصل الخامس 


وتتضمن أمثلة أصول المعلومات العامة ما يلي: بيانات الرواتب» وبيانات التدفق 
النقدي» وبيانات تواصل العملاء ومعلومات بطاقات الدفع الائتمانيةء والحسابات الدائنة, 
وحسابات القبضء وعوائد الضرائب» والبريد الإلكتروني. وبالإضافة إلى مثل تلك المعلومات 
الخام فإن أصول المعلومات العامة تشمل أيضاً معالجة المعلومات مثل وثائق النظام, 
وأدلة تدريب المستخدم. والوثائق التشغيلية التي تضمن الامتثال التنظيمي» ومعلومات 
استمرارية العمل. 

أما أصول المعلومات الذاتية فتشمل املكية الفكرية مثل تصميم المنتجات ونتائج 
اختبار المنتجات. وتشر الملكية الفكرية (intellectual property)‏ إلى إبداعات العقل 
(الاختراعات والمصنفات الأدبية والفنية والرموز والأسماء والصور والتصاميم) التي يمكن 
استخدامها لتحقيق eb NI‏ وف سياق مثال الجامعة فإن أمثلة المعلومات الذاتية تشمل 
درجات الطلاب النهائية» ودرجات اختبارات الطلاب. وكشوف درجات الطلاب. 

وعلى الرغم من أن البيانات منتشرة فإن القادة التنفيذين لا يهتمون إلا بالآثار الأمنية 
للمعلومات التي تجذب الاهتمام السلبي لوسائل الإعلام أو تلك ا مشمولة بمسائل الامتثال 
القانوني. على سبيل «JUL‏ معظم المسؤولين التنفيذيين على بينة بالآثار الأمنية المترتبة على 
بيانات بطاقة الائتمان» وهذا بسبب العديد من حوادث سرقة بطاقة الائتمان التي حدثت 
في الماضي القريب. ونتيجة لذلك يتم مناقشة هذه القضية في جميع مجريات الصناعة. 
وهذا مثال مشهور للتحيز الإدراي» والمعروف بتحيز الحداثة» حيث يدفع العقل اهتماما 
غير عادي للأحداث الأخيرة. 

والتحدي الذي يواجه ا متخصصين في مجال الأمن هو تحديد أصول المعلومات قبل 
أن ثل فقدان تلك المعلومات ضرراً للمنظمة. تأمل في مثال (أحضر جهازك الخاص) 
(BYOD)‏ الموضح أدناه. 


(9) http://www.wipo.int/about-ip/en/ 
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(أحضر جهازك الخاص) (Bring Your Own Device)‏ 
قد تكون على ele‏ بأن أحد أبرز الاختصارات الحديثة في منظمات تقنية المعلومات هو اختصار 
(BYOD)‏ الذي يعني (أحضر جهازك الخاص). lias‏ انعكاس لحقيقة أن اممنظمات» مع 
كل جدران الحماية والمعدات الأمنية الخاصة بهم» لم تكن قادرة على احتواء انتشار الأجهزة 
المملوكة للمستخدم والتي يمكنها الوصول إلى شبكات المنظمات» والأهم من ذلك أنه يمكنها 
الوصول لبيانات المنظمات. وبعد مقاومة مبدئية لتلك الأجهزة بدأت العديد من المنظمات 
بالترحيب s‏ وأجياناً كان الدافع وراء ذلك تقليل التكاليف. فإذا تم السماح للموظفينء ولو 
ببعض الجهد. باستخدام أجهزتهم الشخصية لإنجاز المهام المتعلقة بالعمل فإنه هكن للمنظمة 
توفير تكاليف توريد تلك الأجهزة للموظفين. على سبيل ا مثالء هكن لخط الهاتف المحمول 
أن يكلف ٠‏ دولار شهرياً أو ما يقارب من ٠‏ ۰ دولار لكل موظف سنوياً. وتقريباً كل :6 
موظفاً يستخدمون هواتفهم ال محمولة الشخصية بدا من الهواتف الصادرة من العمل» وذلك 
يساعد المنظمة على توفير وظيفة مهنية واحدة برتبة مبتدئ. là]‏ فإن اقتصاديات (أحضر 
جهازك الخاص) (BYOD)‏ حقيقة واضحة. 
ومن منظور أمني من المهم أن نلاحظ أن (BYOD)‏ تخلق تحديات في إدارة الأصول المعلوماتية, 
وذلك لأن بيانات المنظمة الآن موزعة في العديد من الأجهزة الشخصية. وسرقة أي من هذه 
الأجهزة بالإمكان أن تؤدي إلى اختراق الأصول ال معلوماتية في ا منظمة. 
ولهذا السبب Ol‏ معظم المنظمات تصر على أن تكون قادرة على المسح الكامل ل (BYODs)‏ 
عن طريق التحكم عن بعد في حالة السرقة, أو الأذىء» أو أي مخاوف أخرى. 





الأصول الوظيفية: 

يعد المبرمجون والمطورون والمديرون أصولاً تنظيمية مهمة. وقد يستغرق العثور على 
الموظف الذي هتلك المهارات المطلوبة ويكون على استعداد للعمل بالراتب الشهري الذي 
تستطيع المنظمة منحه ob]‏ وقتاً طويلاً. وبعد التعاقد مع الموظفين تستثمر المنظمة مبالغ 
كبيرة في تدريبهم. وحتى لو كان ذلك التدريب غير رسميء والذي يشمل فقط طرقاً معينة 
مثل متابعة موظف آخر معرفة قضايا العمل اليوميةء أو قضاء أيام في المكتب لقراءة 
وثائق المستخدم. فإن ذلك يشكل تكاليف إضافية للمنظمة. وفي وقت لاحق مع تطور 
الموظف مهنياً ومع تعلم الأساسيات وبناء شبكة اجتماعية داخل المنظمة قد يجد الموظف 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات 1۹ 


الفصل الخامس 


نفسه خبيراً في مجال معين. على سبيل المثالء قد يتطور الموظف ليصبح الأفضل في فهم 
شيء يمكن أن يكون عملية أساسية للقسم الذي يعمل فيه مثل معالجة السلسلة في لغة 
(Perl) Jy‏ أو ضبط اللغة الاستفسارية الإنشائية المركبة (MySQL)‏ لتحقيق أداء عال 
اعيات أو تحظيع الاشعفادة من قواعد جداز الحتماية.. وكمخلل لأمن اللعلومات فإن 
من أحد مسؤولياتك تحديد هؤلاء الأفراد وإدارة ا مخاطر المرتبطة بهؤلاء الموظفين المميزين 
وإحدى الطرق لذلك هي جعل الإدارة واعية لأهمية هؤلاء الأفراد حتى تقوم الإدارة مزيد 
من الجهود لإشراكهم في العمل. وآلية أخرى لتحقيق ذلك هي تدريب موظفين آخرين في 
المنظمة على مهارات متعددة للتصدي لبعض تلك المسؤوليات الهامة. 

ويتم توثيق الأصول الوظيفية أيضاً من وجهة نظر الاستجابة للكوارث. فعندما يتعرض 
أحد الأصول لتهديد ما عليك أن تعرف كيفية الاتصال بالأفراد القادرين على الاستجابة لهذا 
التهديد. Bs‏ هذه الوثائق على شكل تجميع لأرقام الهواتف» وعناوين المنازل» وعناوين 
البريد الإلكترونيء أو أي شكل آخر من أشكال معلومات التواصل. 


أصول مكونات الحاسب الآلي المادية: 


وتشمل أصول مكونات الحاسب الآلي المادية قطع الآلات المادية والنظم المرتبطة بشكل 
مباشر أو غير مباشر في دعم رسالة المنظمة. وهي عادة ما تمثل «الأشياء» التي تم شراؤها 
من الإيرادات» ورسوم الطلاب» والمنح النقدية وغيرها. كما تمثل مكونات الحاسب dI‏ 
المادية الوسيط الذي توجد فيه البيانات» ومن ثم فمن دون هذه المكونات المادية لا مكن 
أن يكون هناك بيانات لتأمينهاء وعند ذلك لا يكون هناك حاجة لأمن المعلومات. وتعد 
مكونات الحاسب JI‏ المادية أمراً بالغ الأهمية للقسم كأهمية البيانات التي تحتويها تلك 
المكونات. 

وبالإضافة إلى الدور الموضح أعلاه بأن مكونات الحاسب JI‏ المادية تمثل أصولاً للأغراض 
العامة. قد تكون مكونات الحاسب Js‏ المادية أف Gal‏ للمنظمة $ شكل نموذج do‏ 
لجهاز ua‏ أو براءة اختراع جديدة. ass‏ النماذج Šole A54‏ شكلاً من أشكال الملكية 
الفكرية. كما تمثل النماذج المبدئية غالبا القاعدة للفرص المستهدفة من المنظمة ولذلك 
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تحمي المنظمات النماذج اممبدئية بعناية فائقة. ولحماية الفرص التجارية المرتبطة بالنماذج 
ا مبدئية: فإن إصدار أي معلومات متعلقة بالنماذج المبدثية يكون محميا بواسطة عقود 
EN‏ باتفاقيات عدم الإفشاء -(Non-Disclosure Agreements)‏ 


وكمثال على خرق أمنى يتضمن نموذجاً مبدئياً للمكونات المادية, في عام ۲٠٠١‏ نسي أحد موظفي 


شركة أبل (Apple)‏ نموذجا مبدئيا لهاتف أيفون (S4)‏ في إحدى الحانات في كاليفورنيا. وتم 
العثور على النموذج adl‏ وبيعه ب 0٠٠١‏ دولار لمحرري موقع .(Gizmodo.com)‏ وقام 


الموقع الإلكتروني بنشر القصة مفصلة مع الصور. وفي شهر أكتوبر من عام ۲١٠١‏ تم الحكم على 
الرجلين المتورطين ببيع الجهاز بسنة مع إيقاف التنفيذ والوضع تحت المراقبةء وقضاء ٤٠‏ ساعة 
في خدمة ال مجتمع» كما حُكم على كل منهما بدفع ۲٠١‏ دولارا تعويضا لشركة أبل. 





ماذا ينبغي على اممنظمة أن تسجل لتتبع أصول مكونات الحاسب الآلي المادية؟ هذه 
العملية هي الأساس للعديد من الأنشطة الأمنية الأخرى ا هه التعافي من الكوارث 
ووصولا لإدارة المخاطر. وفي الوضع UL‏ ترغب أن تكون المعلومات كاملة قدر الإمكان 
بحيث إذا فقدت جهازا معينا تكون قادرا على استبداله بقليل من الجهد. ويوضح الجدول 
(1-0) مثالا على تتبع خصائص أجهزة الحاسب الآلي المكتبية وأجهزة الحاسب JYI‏ ا محمولة. 

ويجب أن تلاحظ في هذه المرحلة أن الجدول في الواقع يتضمن أكثر من مجرد الوصف 
المادي للجهاز. 

تكلفة الشراء وتقدير نهاية حياة الجهاز: تكلفة الشراء تُعطيك معياراً عند البحث عن 
تكاليف التأمين والاستبدال في حال فقدان الجهاز. ستحتاج إلى قرابة ٠٠٠١‏ دولار لاستبدال 
هذا الجهاز. ويساعدك تقدير نهاية حياة الجهاز من ناحية الميزانية. فيجب أن تخطط 
لاستبدال هذا الكمبيوتر المحمول في نحو Y‏ سنوات. وفي ذلك الوقت ستحتاج إلى قرابة 
۰ دولار. 

تاريخ تسليم الأصول وتاريخ الإنتاج: هذه التواريخ تعطيك لمحة عن مدى كفاءة 
تقنية المعلومات وإعداد الجهاز للاستخدام. وتشمل تشيت نظام التشغيل «uale‏ 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات Yyy‏ 
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aal‏ والتسليم الاي إلى م lal‏ وف JULI 32,71 doli‏ 48 ترين القارة 
الزمنية بين هذه التواريخ وذلك عندما تقوم الإدارات بتقدير مشترياتهم. وقد تشير الزيادة 
غير الطبيعية ال اتتكيدات إضافة d‏ الحملية a 3 Elli d of‏ الكاور البشري 
ا مخصص لإعداد أجهزة الحاسب „JYI‏ 


الجدول )3-0(: Js‏ على تتبع الخصائص 


0008--CA-8479-40- (MAC Address) امادي‎ ead 


كه EY‏ آي محمول 16 ومةه غطاء فت 


تقدير نهاية حياة الجهاز 
تريخ ليم مول إل اة ية لومت 
SHEER — — | — i‏ 
الخدمة الأخيرة تمت بواسطة Elmer Livingstone‏ 
ممص ا 
EN EE)‏ 
توجيهات خاصة للتخلص من الجهاز (الامتثال للوائح) | يحتوي جهاز الحاسب الآلي المحمول على بيانات بحثية تخضع 
لضوابط التصدير لذا يجب أن تمحى فور استلامها من قبل موظفي 
تقنية ا معلومات وفقاً للتوجيهات الإرشادية لوزارة ull‏ 2 
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وقد تكون لاحظت أن هذه «السيرة الذاتية للجهاز» ستكون فى الواقع مفيدة للعديد 
من الإدارات في تقنية ا معلومات» كما ستكون هناك مجموعات مختلفة من ال موظفين قادرة 
على المساهمة بال معلومات. ويجب أن يكون موظفو الشبكات على سبيل JUL‏ قادرين 
على الإفادة برقم القابس الموصل بجهاز معين. كما يجب أيضاً أن يؤكدوا الموقع الفعلي. 
Ul‏ موظفو دعم الحاسب الشخصي فيجب أن يكونوا قادرين على تحديث آخر موعد 
للخدمة» ويمكن موظفي الامتثال للوائح من استخدام التاريخ للتوصل إلى قائمة تتضمن 
تواريخ آخر الفحوصات التي تمت بواسطة موظفي تقنية ال معلومات. 


سرقة أجهزة الحاسب الآلي المحمولة, والسيرة الذاتية للجهازء والاتصال بالشبكة 


في جامعة جنوب فلوريداء تشارك شرطة الجامعة باستمرار بالبحث عن أجهزة الكمبيوتر ا محمولة 
المسروقة. يذهب الطالب للمكتبة ومن ثم «يبتعد للذهاب لدورة المياه». وعند عودته لا Ago‏ 
جهازه. 

وعندما يُسجل الطلاب للتواصل اللاسلكي في حرم الجامعة فإننا نحافظ على السجل الذي يربط 
الجهاز الفعلي للمستخدم مع هويته. وعندما تتواصل شرطة الجامعة مع تقنية ا معلومات فإننا 
نقوم بوضع SÍ‏ تعقب على الجهاز الفعلي وننتظر لنرى ما إذا كان الجهاز يظهر على الشبكة مرة 
أخرى. 

وغالبا ما يحدث ذلك. 





استكشاف الأصول: 

إدارة الأصول من خلال دورة حياتها هي القاعدة الذهبية. ولكن واقعيا غالبية المنظمات, 
وخاصة المؤسسات الصغيرة والمتوسطة الحجم» ليس لديها إجراءات رسمية لمتابعة أصول 
(مكونات الحاسب الآلي المادية) من خلال دورة حياتها. 

يتم استبدال الخوادم عندما تتعطل أو عندما تكون dea‏ جدا وعندما يؤثر عدم قدرتها 
على الأداء في النتائج الأماسية للمنظمة. وف الجامعات يتم تمرير أجهزة الحاسب الآلي 
المكتبية من أعضاء هيئة التدريس إلى المساعدين الإداريين. ويتم شراء الأجهزة من المنح 
JUI‏ وبطريقة سحرية «تظهر» تلك الأجهزة على الشبكة خلال يوم واحد. وفي معظم 


أمن المعلومات وإدارة مخاطر تقنية المعلومات vvv‏ 


الفصل الخامس 


الإدارات لا أحد يعلم (Y) Lào‏ ما هي أصول مكونات الحاسب الآلي المادية التي تملكها 
الإدارةء (Y)‏ وأين مكان تلك الأصول. 

ويمكن أن يستخدم مسح الشبكة من أجل التوصل إلى قائمة بهذه الأجهزة. وللأسف 
فإن مسح الشبكة ليس دقيقا لأن الأجهزة ا محمولة قد لا تكون متصلة بالشبكة خلال فترة 
المسح. وحتى أن المسح المتعدد, والذي يتم في أوقات dala‏ قد لا يلتقط جميع الأجهزة. 
وللتعامل مع هذه القضية فإن العديد من المنظمات تتبنى سياسات تتطلب مراجعة دورية 
لجميع الأجهزة ويقوم بتلك المراجعة موظفون من خارج المنظمة. 


معظم الشركات والجهات الحكومية لديها مبادئ توجيهية يتم من خلالها تعقب فقط الأصول 
التي تتجاوز مستوى معين من التكلفة. لكن تلك المبادئ التوجيهية مبنية في الغالب على أسباب 


مالية فقط لأن لدى محلل أمن المعلومات أسبابا تقنية لتتبع dae‏ على الرغم من أن تلك 
الأجهزة قد تكون تحت مستوى التكلفة المحدد من المنظمة. 





الأصول البرمجية: 


الأصول البرمجية هي الأدوات البرمجية اللازمة لمعالجة معلومات المنظمة بهدف 
تحقيق رسالة ال منظمة. وتحتاج الأصول البرمجية للحماية من أجل ضمان أن البيانات Jl»‏ 
ا منظمة جاهزة للاستخدام بحيث تتمكن المنظمة من المحافظة على مستويات عالية من 
الإنتاجية. وهذه الأصول البرمجية لها العديد من خصائص أصول (مكونات الحاسب JYI‏ 
المادية). وتشمل الأصول البرمجية العامة تطبيقات المستخدم «Microsoft Office) Jis‏ 
كما تشمل التطبيقات ال مؤسساتية مثل (PeopleSoft)‏ (وهو يستخدم للحفاظ على بيانات 
الموظفين). وأدوات التطويرء ونظم تتبع إصدار البرمجيات. والبرمجيات المتعلقة بالأمن. 
وتستلزم حماية الأصول البرمجية بعض الأنشطة مثل التأكد من إتاحة الإصدار الأحدث 
من البرمجيات والتأكد من أن إصدارات البرمجيات المتاحة متوافقة مع الأجهزة ا موزعة في 
المنظمة. ويتم عادة شراء الأصول البرمجية العامة. 


الأصول البرمجية الذاتية هي الأصول التي يتم عادة تطويرها في المنظمة. إما لدعم 
العمليات الداخلية وإما للبيع بوصفه مُخرّجا من مخرجات المنظمة. 


re‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


تحديد الأصول والتعرف على خصائصها 


الأصول القانونية: 

الأصول القانونية المتعلقة بتقنية المعلومات هي التنظيمات التعاقدية التي توجه 
استخدام أصول (مكونات الحاسب الآلي المادية) والأصول البرمجية داخل المنظمة. ومن 
الأمثلة على تلك الأصول اتفاقيات الدعم الفني وتراخيص البرمجيات» ومصادر الدخلء 
ومصادر التمويل. وقد تنسى هذه الأصول بسبب مسيرة الأعمال اليومية في المنظمة مما 
يؤدي ذلك إلى حدوث خلل. وأحد الحوادث ال معروفة والتي تدل على أهمية الأصول 
القانونية المتعلقة بتقنية المعلومات هي حادثة شركة (Comair)‏ وهي إحدى الشركات 
التابعة لخطوط دلتا الجوية”". ففي ٠٠١6 ele‏ كانت شركة الطيران تستخدم نظاماً لجدولة 
طاقم الطائرة تم اقتناؤه في عام MA‏ 


الجدول :(Y-0)‏ مثال على الأصول 


لمحلل الأمني فلان quan‏ 
حزمة برامج مايكروسوفت أوفيس 
ترخيص مايكروسوفت أوفيس 





وتضع أنظمة سلامة الطيران توجيهات صارمة على ساعات عمل طاقم الطيران» وذلك 
لضمان يقظتهم ويعمل نظام جدولة طاقم الطائرة على ضمان الامتثال ell)‏ التوجيهات. 
والنقطة المهملة في الموضوع هي أن عدد تراخيص التغييرات التي حصلت عليها الشركة 
هو ll Y'Y‏ عدا uel‏ خلال el‏ فور الشركة عصلت le‏ راخف ل YY‏ الت aei‏ نهدا 
أعلى خلال أي شهر. وقد تسبب شتاء قارس وغير اعتيادي في شهر ديسمبر من عام ۲۰۰٤‏ 
وصول الشركة إلى هذا الحد لأول مرة في ليلة عيد الميلاد. وبدون البرمجيات لا يمكن لشركة 
الطيران أن تعمل على الرغم من أن كل طائراتها كانت تعمل بكامل طاقتها. وقد أدى هذا 


(10) http://www.cio.com/article/2438920/risk-management/comair-s-christmas-disaster--bound-to- 


fail.html 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات ro‏ 





الفصل الخامس 


الحادث إلى احتجاز أكثر من ٠٠١‏ ألف عميل في المطارات في عيد ميلاد عام €« Y‏ وخسارة 
قدرها ٠١‏ مليون دولار (مقارنة بأرباح قدرها YO‏ مليون دولار في الربع السنوي السابق). 
كما أدى ذلك إلى رحيل الرئيس التنفيذي السابق للشركة. وكل ما كان مطلوباً لتجنب وقوع 
تلك الحادثة هو الانتباه لمستوى تراخيص التغييرات وشراء العدد المطلوب من التراخيص 
الإضافية. ومَّثلت هذه الحادثة موضوعاً لأحد الكتب الممتعة جداً في إدارة مخاطر تقنية 
المعلومات'. 
تحديد الأصول - مثال من جامعة نموذجية: 

وبعد أن LSS‏ فيما سبق تصانيف الأصول المهمة. نستطيع الآن تحديد هذه الأصول في 
أي منظمة. وتعد الأصول العامة أسهل في التحديد. وذلك لأن قوائم الأغراض العامة يمكن 
صياغتها لتحديد تلك الأصول. أما الأصول الذاتية فهي محيرة أكثر لأن تحديد هذه الأصول 
يتطلب معرفة عميقة dalaibh‏ وبالصناعة التي تعمل فيها المنظمة. ولحل هذه المشكلة في 
تحديد الأصولء يوصي الكثير من الخبراء بتطبيق مزيج من النموذج التصاعدي (من أسفل 
إلى (el‏ والنموذج التنازلي (من أعلى إلى أسفل). إن تحديد ما هو مهم بالنسبة للمنظمة 
هكن أن يساعد في تحديد الأصول الذاتية للمنظمة. ويوضح الجدول (Y-0)‏ مثالا على بعض 
الأصول النموذجية التي قد تجدها في إحدى الجامعات. 


التعرف على خصائص الأصول: 

وبعد أن قمنا بتحديد جميع الأصول مع إبراز النظام ومعرفة تبعياته» نحن مستعدون 
الآن للبدء في التعرف على خصائص الأصول. وللقيام بذلك هناك معياران: الحساسية 
والأهمية. ويساعد التعرف على خصائص الأصول على تخصيص الموارد بالشكل المناسب 
من أجل حماية تلك الأصول. ويمكن أن يؤدي التعرف على خصائص الأصول غير الفعال إلى 
استثمارات كبيرة في حماية الأصول غير المهمةء في حين تكون اممنظمة معرضة للمشكلات 
الشائعة. 


(11)Westerman, G. and Hunter R. IT Risk: Turning Business Threats into Competitive Advantage 


(Hardcover). Boston, MA, Harvard Business School Press 
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تحديد الأصول والتعرف على خصائصها 


حساسية الأصول: 
تصف الحساسية مدى الضرر الذي يحدث للمنظمة بسبب اختراق خصوصية الأصول 
أو انتهاك تكاملها. ويمكننا شرح الحساسية اعتمادا على المثال التالي: 


بالنظر إلى الأصول التاليةء أيها تعتقد أنها أكثر حساسية؟ 
٠‏ اطلفات البحثية للدكتور جيمسون والموجودة على سطح ال مكتب الخاص باتباع التعليمات 
ا منظمة للتعامل الدولي للأسلحةء ويرجع ذلك إلى حقيقة أن تلك الدراسات تتضمن بحوثاً عن 


مواد تحت رقابة القوات امسلحة الأمريكية. 
البريد الإلكتروني لجين بولينغ وهي طالبة في كلية إدارة الأعمال. 
المفكرة الخاصة بروبرت طومسون. 





نأمل أنك اخترت الخيار الأول. ليس لأنه أحد أعضاء هيئة التدريس بل لأنه عند تمكن 
شخص غير مصرح له من الوصول إلى أبحاث الدكتور جيمسونء فإن أفراد القوات ا مسلحة 
الأمريكية ليسوا فقط في خطر محتملء بل يمكن أن الجامعة تواجه عواقب وخيمة من 
حيث المنح. والدكتور جيمسون نفسه يمكن أن يذهب إلى السجن. وفي الواقع حدث شيء 
مماثل مع البروفيسور جون ريس روث (John Reece Roth)‏ ففي شهر يوليو من عام 
6 تلق روت edo Se‏ ممدة أربع سنوات لتصديره تكنولوجيا عسكرية بطريقة 
غير مشروعة ويرجع ذلك إلى حد كبير بسبب dlas‏ مع طلاب دراسات Ule‏ من إيران 
S sails‏ 

وهناك توجيهات مختلفة لتصنيف حساسية الأصول. فبعض ا منظمات تستخدم مقياساً 
من صفر إلى خمسة. والبعض الآخر يستخدم Calis‏ يبدأ من (منخفض) إلى (عال). 
ولأغراض هذا الكتاب» سوف نستخدم bii‏ ثنائياً [EN‏ يصنف الأصول إلى واحدة من 


فئتين: مقيدة أو غير مقيدة. 


(12)Prison Time and Export Controls .http://www.governmentcontractslawblog.com/2011/10/ 


articles/itar/ 
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الأصول المقيدة: 


الأصول المقيدة هي الأصول التي يؤدي الإفصاح عنها أو تغييرها إلى عواقب وخيمة على 
المنظمة. والأمر متروك للمنظمة لتقرير الحد الخاص بها. وبعض النتائج قد تكون مقبولة 
عند مقارنتها بالتكاليف المطلوبة لتأمين الأصول. ويُسمى هذا التحديد ب (قبول المخاطر) 
وسيتم مناقشته مرة أخرى في فصول لاحقة. 

Acad Goods No ada :ةراتف‎ do تحمل ا‎ e o a انق‎ d 
لجامعتك. فلا يُسمح لأحد حتى لأبويك بالاطلاع على درجاتك الدراسية دون موافقتكء وإن‎ 
كان أبواك يدفعان الرسوم الدراسية بالكامل. وهذا لا يحدث بالضرورة لأن الجامعة واحدة‎ 
من الخيارات. فالجامعات مُلزمة بحماية درجاتك الدراسية وغيرها من البيانات وفقا‎ 
Family Educational Rights) ١91/6 لعام‎ 8 AU لقانون الحقوق التعليمية والخصوصية‎ 
وهذا القانون يعرف بقانون (بند الإنفاق): «لا يجوز تخصيص أي‎ .(and Privacy Act 
أموال لأي برنامج قابل للتطبيق....» ما م يتم تحقيق المتطلبات القانونية”". معنى أنه ما‎ 
م تلتزم الجامعة بهذا القانون فإنه لن يتم تخصيص أي أموال فيدرالية إلى الجامعة (بما في‎ 
ذلك المساعدات امالية للطلاب).‎ 

وسوف تجد أنه يتم اعتبار عدد غير قليل من الأصول بأنها أصول «مقيدة» بسبب نوع 
من الامتثال للقوانين. ومثال على ذلك الامتثال في صناعة بطاقات الدفع Payment Card)‏ 
225117 فالتوجيهات الصادرة من البنوك لحماية معلومات البطاقات الائتمانية. وقانون 
إمكانية نقل التأمين الصحي وا مساءلة (HIPPA)‏ وقانون ساربينز أوكسلي Sarbanes-)‏ 
(Oxley Act‏ كلها حددت معايير محاسبية جديدة أو مطورة لجميع مجالس إدارة الشركات 
العامة في الولايات المتحدة. والإدارةء وشركات المحاسبة العامة. 


وهناك أيضاً بعض الأصول التي oce‏ النظر إليها بأنها أصول «مقيدة» بسبب اختيار المنظمة. 
تقارير التعرف على خصائص الأنظمة: على سبيل JELI‏ تحدد بدقة أنظمة المنظمة التي 
تعد حساسة للعمليات. كما أن تلك التقارير قد تظهر بعض الثغرات التي يمكن أن يستغلها 


(13)Legislative History of Major FERPA Provisions khttp://www2.ed.gov/policy/gen/guid/fpco/ 
ferpa/leg-history.html 
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تحديد الأصول والتعرف على خصائصها 


بعض الأشخاص للوصول إلى النظام (هل تتذكر القنوات غير المؤمنة في البريد الإلكتروني؟). 
لذلك ينبغي النظر إلى خصائص الأنظمة بأنها من الأصول المقيدة. ويمكن أن تشمل الأمثلة 
الأخرى رواتب الموظفينء وجداول الميزانيةء وتقارير المراجعة الداخليةء وغيرها. 


الأصول غير المقيدة: 
الأصول غير المقيدة تختلف عن تلك الأصول التي تصنف بأنها مقيدة. وهي البيانات 
التي إذا سربت أو : تم استعراضها من قبل شخص ما فإن ذلك لن يسبب مشكلة للمنظمة. 
رأينا سابقاً أن درجاتك الدراسية تُصنف تحت المعلومات المقيدة. وف المقابل فإن لدى 
جامعتك ما E‏ بدليل المعلومات الذي يحتوي على المعلومات التي تخصك والتي يمكن 


Es‏ غلناً. duis‏ اكامات الثالية عادة جوا من دليل المعلومات ومن ثم فهي معلومات 


اسم الطالبء العنوان ا محلي ورقم الهاتفء العنوان الدائم ورقم الهاتف وعنوان البريد 
الإلكترونيء مكان Ibl‏ تخصص الدراسة. تواريخ الحضور, حالة التسجيل بدوام كامل 
أو «35e‏ السنة الدراسية (المرحلة)ء الدرجة (الدرجات) العلمية الحائز عليهاء الجوائز 
والأوسمة الحائز عليهاء المؤسسات التعليمية الأخرى التي التحق dy‏ صورة شخصية» الطول 
والوزن لأعضاء الفريق الرياضيين. 

وإذا كنت مندهشاً وتتساءل عن المعلومات التي تضعها جامعتك في دليل المعلومات, 
عليك بالبحث في دليل ا معلومات معرفة ذلك. ويتطلب من الجامعات أيضاً توفير آلية 
لتحويل البيانات غير المقيدة إلى بيانات مقيدة. وعادة ما يكون هناك نموذج للخصوصية 
يمكنك تعبئته في مكتب المسجل والذي يسمح لك gig‏ الجامعة من نشر عنوانك الشخصي 
على سبيل المثال. 


وتعد المعلومات المنشورة على المواقع الإلكترونية العامة عادة معلومات غير مقيدة. 
ومن الأمثلة على ذلك الأصول ال معلوماتية التسويقية. قائمة الفصول في الجامعةء الحقائق 
الغذائية عن الأغذية أو ال مشروبات. 


أمن المعلومات وإدارة مخاطر تقنية ال معلومات لظف 
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أهمية الأصول: 

أهمية الأصول هي مقياس لمدى أهمية الأصل للبقاء الحالي للمنظمة. وعادة ما 
يرتبط مستوى الأهمية العالية للأصل بمدى وجود الأصل في إطار مبادئ الخصوصية 
(Confidentiality)‏ والتكامل (Integrity)‏ والجاهزية (Availability)‏ و à‏ الواقع فإن 
(أهمية الأصول) تسأل هذا السؤال: إلى متى يمكن لمنظمتي البقاء دون هذا الأصل؟ وكلما 
كان الأصل أكثر أهمية ازدادت التدابير التي تأخذها المنظمة من أجل التأكد من تكرارية 
الأصل» وأن له نسخاً احتياطيةء وأنه محمي من التعطل. 

وعند محاولة تحديد مستوى أهمية الأصل سوف تجد أنه إلى حد كبير يعتمد على عين 
BU]‏ عرق dan caben‏ من إدارة إل Slo]‏ ذاعل المنظمة: وخصوصا عندما dI ulis‏ 
الأصل بأن له فوائد فقط لمنظمتهم. وبعض الأصول تخدم بوضوح المنظمة بأكملهاء وغالباً 
ما يشار إليها ب أنظمة أعمال المنظمة (Enterprise Business Systems)‏ على سبيل 
المشال الأنظمة التي تتعامل مع وظائف امموارد البشرية والرواتب عادة تعد من أنظمة 
أعمال المنظمة. في البيئة الجامعية يعد النظام الذي يتعامل مع درجات الطالب نظام 
أعمال المنظمة. لكن نظام البريد الإلكتروني الذي يتعامل فقط مع كلية الطب لا يعد نظاماً 
لأعمال المنظمة لأنه يعمل فقط مع هذه الكلية. غير أن هذا النظام يعد مهماً لعمليات 
كلية الطلب. وتعد أنظمة أعمال المنظمة dago‏ أما غير هذه الأنظمة فلا تعد كذلك. 


تأمل فيما يلي عند محاولة تحديد مستوى أهمية الأصول: 
ما وجهة نظرك؟ 


هل سيكون الإداريون قادرين على استرداد البيانات في حال وقوع كارثة؟ 
كم من الوقت ستستغرق عملية استرداد البيانات؟ 
هل سيكون هناك تأثير في فقدان الجاهزية ها في ذلك خسران المكانة العامة للجهة؟ 





وهناك تعريفات لفئات مختلفة من الأهمية في مجال أمن المعلومات. وأحد أنظمة 
التصنيف الأساسية يُصنف الأصول إلى ضروري» ومطلوب. ومؤجل. 


vv.‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


تحديد الأصول والتعرف على خصائصها 


الأصول الضرورية: 

ينبغي النظر إلى الأصل «b‏ ضروري إذا كان فقدان جاهزيته سيسبب عواقب وخيمة 
وفورية للمنظمة. وهذا يعني أن المنظمة بحاجة إلى تحديد تعريف مصطلح «عواقب 
وخيمة». وسيتم فقدان الأصول الضرورية وإن استمر غيابها فترة وجيزة من الزمن. خذ 
على سبيل JULI‏ عجلات السيارة. إذا كنت تقود سيارتك على الطريق السريع فإن العجلات 
ضرورية. وانفجار أحدها قد يعني كارثة كبيرة بالنسبة لك ولبقية الركاب. ومن الأمثلة 
الأخرى على ذلك: نظام الشراء لبائع على شبكة الإنترنت» والطاقة الكهربائية للمستشفىء 
وقوارب النجاة لسفينة التايتانيك. 

وأحد blä‏ ضعف أمن المعلومات أن الأصول الضرورية لا تكون محمية بالشكل 
الصحيح» olo‏ جاهزيتها تؤخذ على أنها حقيقة غير قابلة للمناقشة. وسوف نستعرض هذا 
اموضوع عندما نناقش التعافي من الكوارث في الفصل الحادي عشر. 


الأصول المطلوبة: 

يعد الأصل مطلوباً عندما يكون مهماً للمنظمة وفي الوقت نفسه تكون المنظمة قادرة 
على الاستمرار في العمل لفترة من الوقت وإن كان الأصل غير موجود. 

Uso‏ نفكر في مثال السيارة مرة أخرى. هذا JELI‏ سيوضح أيضا تبعية الوقت لمستوى 
أهمية الأصول. وبكل وضوح تعد العجلات ضرورية إذا كنت تقود سيارتك على الطريق. 
لكن ماذا إذا رجعت إلى منزلك وفي وقت لاحق في المساء واكتشفت أن أحد الإطارات خال 

من الهواء؟ وفي هذا «gll‏ وعلى افتراض أنه لم يكن لديك أي Set atl vais ota‏ 

اعتبار العجلات أصلاً ضرورياً: إنها مهمة ولكنها ليست حرجة. ويمكن أن تكون مرة أخرى 
حرجة في اليوم التالي عندما يتوجب عليك الذهاب للعملء ولكن حتى ذلك الحين سيكون 
لديك فرصة لتصحيح المشكلة. وأحد طرق تصحيح الأمور هي تفعيل daz‏ التعافي من 
الكوارث: احصل على رافعة» وركب الإطار الاحتياطيء» وأصلح الإطار الرديء. مدة التوقف: 
قرابة ٠١‏ دقيقة. 


أمن المعلومات وإدارة مخاطر تقنية ال معلومات m‏ 


الفصل الخامس 


الأصول المؤجلة: 

الأصول المؤجلة هي الأصول اللازمة للتشغيل (JULI‏ للمنظمة لكن فقدان جاهزيتها Y‏ 
يسبب مشكلات كبيرة للمنظمة في الأجل القريب. وإذا كان يمكن وصف الأصل بعبارة 
«حسناً في نهاية الأمر نود الحصول عليه لكن يمكن الاستغناء عنه في الوقت الراهن»» فإنك 
ستعرف أن هذا الأصل من الأصول المؤجلة. 

هذه الأصول هي العناصر التي يمكن أن تجعل ال منظمة تعمل بسلاسة وكفاءة xS]‏ لكن 
يمكن تجديدها عند الحاجة. خذ شيئاً بسيطا مثل قلم الحبر الذي تستخدمه في الصف. إذا 
فقدت قلم الحبر فإنك قد تواجه صعوبة في أخذ الملاحظات في هذا الفصلء لكنك قد تجد 
قلم رصاص في حقيبتك وسيؤدي الغرض بدون أي مشكلات. 

وهنا مثال آخر: تخيل أن لديك قائمة تتكون من ٠١‏ نقاط من الأعمال المنزلية وأن 
عليك القيام بها في جميع أنحاء المنزل. وأحد هذه الأعمال هو CAJAS‏ غرفتك بالمكنسة 
الكهربائية. ومن أجل القيام بذلك عليك استخدام المكنسة الكهربائية لكن اختك تنظف 
غرفتها حالياً بالمكنسة الكهربائية. بالطبع لديك Ulo‏ الخيار في الذهاب والاستحواذ على 
الأصل إذا كنت تعتقد أنه مطلوب في هذا الوقت. أو يمكنك أداء بقية امطهام أولا وتأجيل 
الحاجة إلى هذا الأصل على أمل أن أختك ستنتهي من استخدام المكنسة الكهربائية في 
الوقت الذي ستنتهي فيه أنت من بقية المهام. 

الأصول امؤجلة هي La‏ تلك الأصول امعلوماتية التي مكن إعادة إنشائها دون تأثير 
كبير. مثلا يكتب أستاذك درجاتك الدراسية على ورقة قبل إدخالها في نظام الجامعة الخاص 
بمعلومات الطلاب. وإذا تعطل جهاز الكمبيوتر الذي يستخدمه الأستاذ فجأة وتم فقدان 
البيانات التي يدخلها فلا تقلق. ما زال لدى الأستاذ ورقة الدرجات وبإمكانه إعادة إدخال 
bL‏ اأغقودة. 


dua ur Ap dell الخو “وق تكون‎ Cds م‎ del Ros oca Lao اف‎ uds 


الحياةء قد تكون الأصول حرجة اليوم ما دام مشروع معين على رأس العملء ولكن مجرد تسليم 
المشروع» قد لا تكون هناك حاجة إلى هذه الأصول. 





عناصر التعرف على خصائص الأصول موضحة في الشكل (7-0). 


rr‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


تحديد الأصول والتعرف على خصائصها 


الجدول (Y-0)‏ يستكمل مثال الأصول السابقة من خلال التعرف على خصائص تلك 
الأصول. بعض التعاريف واضحة delet‏ في حين قد تتطلب بعض الخصائص الأخرى شيئاً 
من التفكير والنقاش داخل المنظمة. خذ على سبيل JEL‏ حزمة برامج مايكروسوفت 
أوفيس (MS Office Suite)‏ فإن البرامج نفسها بالإضافة إلى «القرص المتعدد الاستخدامات 
الرقمي» أو الدي في دي (DVD)‏ الذي يحتوي على التطبيقات» هكن اعتبارها أصولا غير 
مقيدة لأنك تحتاج إلى المفتاح السري للمنتج حتى تستطيع تشغيل التطبيقات. وما دام 
مفتاح البرنامج مقيداً فإنه هكن اعتبار حزمة برامج مايكروسوفت أوفيس أصولاً غير مقيدة. 


الشكل (0-؟): عناصر التعرف على خصائص الأصول 





أمن المعلومات وإدارة مخاطر تقنية المعلومات yyy‏ 


الفصل الخامس 


الجدول :(Y-0)‏ التعرف على خصائص أمثلة على الأصول من وجهة نظر الجامعة 


ع ده 
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حزمة برامج مايكروسوفت 
أوفيس 


ترخيص مايكروسوفت أوفيس 





وبهذه الجزئية نكون قد أكملنا أساسيات تحديد الأصول والتعرف على خضائضها» لحن 
من الناحية العملية OB‏ ممارسة تحديد الأصول وتصنيفها يتطلب من المحلل أن يكون 
على بينة من البيئة التي تعمل فيها الأصول. ويمكن توصيف البيئة من خلال أربعة أبعاد: 
مرحلة دورة الحياةء وتبعيات النظام: واطلكية؛ والمسؤوليات. 


ونموذج الحالة ا مبدي لهذه البيئة هو عندما تفكر الإدارة بشراء أصل من أصول تقنية 
ا معلومات من ميزانيتها الخاصة. وفي معظم الحالات فإن المسؤول عن اتخاذ قرار الشراء هو 
رجل أعمال هملك خلفية محدودة عن تأثير ذلك النظام على بقية أنظمة تقنية المعلومات. 
بوصفك محلل أمن معلومات هلك وعياً عن دورة حياة «eM‏ وتبعيات النظامء والملكية, 
والمسؤوليات» ستكون في وضع أفضل لتوجيه إدخال الأصول في المنظمة. وف الجزء المتبقي 
من هذا الفصل سنقوم بتغطية هذه اممسائل. 


re‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


تحديد الأصول والتعرف على خصائصها 


دورة حياة أصول تقنية المعلومات وتحديد الأصول: 

تتمتع الأصول بحياة طويلة. وخلال مدة حياتها الصالحة للاستعمال تمر الأصول بمراحل 
عدة. وفي حين أن معظم مناقشات أمن المعلومات تدور حول الأصول في الاستخدام العمليء 
نجد أن تحديد الأصول يتطلب التدقيق في جميع مراحل دورة حياة الأصول من أجل تقليل 
احتمال القضايا الأمنية الناشئة عن استخدام الأصل. ويناقش هذا الجزء دورة حياة الأصولء 
كما يطرح أمثلة حول ال مخاطر المحتملة والناجمة عن الأخطاء غير المقصودة في كل مرحلة 
من مراحل دورة حياة الأصول. 


ويوضح الشكل (Y-0)‏ الدورة العامة لحياة أصول تقنية ا معلومات. وفي مجال أمن 
المعلومات تسمى إدارة أصول تقنية المعلومات من خلال دورة حياتها بإدارة دورة حياة 
Jool‏ تقنية المعلومات (IT Asset Life Cycle Management)‏ 


وتوضح »359 حياة أصول تقنية ال معلومات امموضحة في الشكل (Y-0)‏ المراحل العليا 
للأصل. وتشمل المراحل التالية: التخطيطء والاستحواذ. والنشرء والإدارةء والتقاعد. 


مرحلة التخطيط: 

لا تظهر الأصول فقط في نطاق الأعمال بل يتم حيازة الأصول عادة من أجل غرض معين 
ومن أجل الإجابة عن ضرورة كمشروع أو كمبادرة. على سبيل JULI‏ عندما يتم التعاقد 
مع موظف جديد قد يتخيل الشخص أن أول خطوة ستكون تغييراً في بيئة العمل بشكل أو 
بآخر إما بزيادة حمل العمل على الموظفين الحاليين الذين يؤدون مهام معينة» وإما بتلبية 
الحاجة ممتابعة الامتثال القانوني والمحافظة عليه وفقا للقوانين الجديدة, أو الكشف عن 
منتج جديد. كما سيتم النظر في تكلفة الأصل في هذه المرحلة. 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات ro‏ 


الفصل الخامس 


الجدول (0-"): الدورة العامة لحياة أصول تقنية المعلومات 


وأحد الأدوات المستخدمة في مرحلة التخطيط هي أداة (طلب المعلومات). وتستخدم هذه الأداة 
عادة عندما تكون المنظمة غير قادرة على توفير متطلبات ومواصفات محددة للمنتجات» أو غير 


قادرة على توفير خيارات الشراء. وهذه الأداة من شأنها أن تحدد إلى الموردين بوضوح أن العقد 
لن يتم اتباعه تلقائيا. 





as‏ مرحلة التخطيط Laf‏ أفضل وقت لتقييم عمليات المنظمة في محاولة للاستفادة 
من الأصل الجديد للمساعدة في مبادرات متعددة. على سبيل JEBI‏ قد يبدأ نشاط 
التخطيط للحصول على البرمجيات التي من شأنها تشفير البيانات داخل قاعدة البيانات. 
وقد تكون القوة الدافعة للحصول على الأصول هي ضرورة الامتثال لقوانين الدولة. مثلاً 
هناك قوانين تتطلب أن تكون أرقام الضمان الاجتماعي مشفرة كلما تم حفظها في نظام 
معلومات الطالب. لكن وبالتخطيط ا مناسب فإن ترخيص البرمجيات نفسها يمكن أن 
يشمل Laf‏ أرقام بطاقات الائتمان التي تم حفظها من قبل الكمبيوتر المحليء كما هكن 
أن يشمل نسّخ من الإقرارات الضريبية التي تم حفظها بواسطة قسم المساعدات JU‏ 

ولعل أفضل مثال معروف للأخطاء غير المقصودة في مرحلة التخطيط هو عدم وجود 
ميزات أمنية مصممة ف الإنترنت. ففي مراحل التخطيطء م يتوقع أحد إلى أي مدى 
هذه التكنولوجيا سوف تستخدم في المعاملات التجارية في جميع أنحاء العام حيث كان 
المخططون مهتمين أساسا بتوصيل البيانات بشكل فعال. وهذا الإغفال مسؤول جزتيا على 
الأقل عن القضايا الأمنية التي نواجهها اليوم على شبكة الإنترنت. 


vm‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


تحديد الأصول والتعرف على خصائصها 


ومثال آخر مثير للاهتمام عن الأخطاء غير المقصودة في مرحلة التخطيط هو عدم 
وجود ميزات أمنية في ويندوز 10 )95 (Windows‏ حيث تم تطوير هذه التقنية ممساعدة 
الممستخدمين على التواصل عبر الشبكات الصغيرة في البيئة التي يمكن السيطرة عليها مثل 
JULI‏ والمكاتب الصغيرة. وها أن التركيز كان على راحة اللمستخدم. م يتوقع أحد الاعتماد 
الواسع النطاق للإنترنت واستخدام نظام التشغيل )95 (Windows‏ للوصول إلى الإنترنت. 
وبدون أي حماية أصبحت هذه الحواسيب الإلكترونية أهدافاً سهلة للمهاجمين. وفي الواقع 
يعتقد بعض خبراء الأمن أن صناعة أمن المعلومات تدين بوجودها للانتشار الواسع لأجهزة 
ويندوز 0 )95 (Windows‏ غير الآمنة على شبكة إنترنت غير آمنة أي 

وأخيراً dab‏ من خلال مرحلة التخطيط في متوسط عمر الأصل والحاجة ا محتملة لبديل في 
نهاية حياة الأصل. ماذا سيحدث للأصل عندما يصل إلى نهاية حياته في مشروع معين؟ هل ستكون 
المنظمة قادرة على إعادة استخدامه لمشروع آخر؟ على سبيل JELI‏ محطة العمل امستخدمة في 
تطوير الألعاب الثلاثية الأبعاد والتي تم تخصيصها في البداية لمصممي الألعاب يمكن إعادة تعيينها 
بعد عام واحد إلى مساعد إداري وذلك لزيادة العمر الإجمالي للأصل في المنظمة. 


مرحلة الاستحواذ: 

بعد مرحلة التخطيط b‏ مرحلة الاستحواذ. وترتبط المخاوف الرئيسية في هذه المرحلة 
باستمرارية بقاء شركة التوريدء كما ترتبط أيضا بالامتثال للأنظمة والإجراءات التنظيمية 
الداخلية: والجدوى العملية للأصول والمبادئ الأخلاقية. ويمكن أن ينطوي ذلك على 
مجموعة متنوعة من الأساليب والتعقيدات المحتملة. ومعظم المنظمات تتطلب سلسلة 
من الموافقات للتأكد من أن الأصل الجديد يلبي هذه الشروط. وفيما يلي بعض الإجراءات 
المستخدمة في هذه ال مرحلة من دورة حياة الأصول: 

دعوة للتفاوض :(Invitation to Negotiate)‏ وهي عبارة عن بيان صادر من المنظمة 
يدل على استعدادها للنظر في المنتج أو الخدمة. ويعد الإعلان التجاري على سبيل JULI‏ 
دعوة للتفاوض حيث المنظمة لديها منتج ومستعدة لبيع هذا المنتج بسعر معين. ويجب 


(14) Dan Geer, talk at Tampa Bay ISSA chapter annual meeting. 2011 
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الفصل الخامس 


أن نضع في الاعتبار أن الرد على دعوة التفاوض تختلف عن العرض الفعلي ولا يمكن أن 
يؤدي الرد على الدعوة في حد ذاته إلى التعاقد. وعادة ما تستخدم دعوة التفاوض من قبل 
الجهات الحكومية عندما تكون معايير الشراء أكثر من معيار السعر المنخفض وحده. 

طلب تقديم العروض :(Request for Proposal)‏ يتم إصدار طلب تقديم العروض 
عند معرفة أهداف المبادرة أو ا لمشروع» ولكن المنظمة لا تهتم بكيفية تحقيق تلك الأهداف. 
قد يكون هناك العديد من الطرق التي يمكن اتباعها لإنجاز المهمة» وتقوم المنظمة بالنظر في 
جميع الخيارات المتاحة. ويحتوي طلب تقديم العروض على تعليمات مفصلة تحدد عناصر 
المعلومات أو الوثائق وذلك لتقديمها لأغراض التقييم. وبالتحديد يحتوي طلب تقديم 
العروض عادة على وصف للمنظمة المصدرة لطلب تقديم العروضء وشرح حالي للحالة أو 
للمشروع.: أو التحديات التي تواجه المنظمة» وإعداد الميزانية والإطار الزمني» ومجموعة 
أسئلة مفتوحة ليتم الرد عليها من قبل sl]‏ 

دعوة تقديم العطاءات :(Invitation to Bid)‏ وتستخدم دعوة تقديم العطاءات 
عندما تكون متطلبات شراء الأصول أو الخدمة معروفة ومحددة بشكل جيد. وتعتمد 
دعوة تقديم العطاءات عادة على قيام المستجيب بتقديم الحد الأدنى من الوثائق التي تدعم 
بأنه قادر على توفير السلع أو الخدمات. وقد تشمل أمثلة الوثائق امطلوبة: التراخيص 
والتصاريح, والتأمين» وإثبات موافقة مصدر الممنتج» quel elo‏ والمعدات «Ae ll‏ والسنوات» 
والخبرة في أداء الخدمات المطلوبة. وعند وفاء مستجيب لمتطلبات الحد الأدنى يكون القرار 
بالتوصية إلى المستجيب ذي العطاء الأقل. 

يعد الفشل الموثق لمشروع نظام رواتب مدينة الوقت مدينة نيويورك (New York City's City Time)‏ 


مثالا واضحا على الاستحواذ غير المناسب. وبغض النظر عن ارتفاع التكاليف. أدى المشروع إلى 
تحقيق Ur‏ في مخطط رشوة مزعوم تورط فيها موظفون سابقون في شركة تكامل النظم (SAIC)‏ 


وشركة التعاقد من الباطن .(TechnoDyne)‏ ومقارنة مع الميزانية الأولية والبالغة W‏ مليون دولار 
ol‏ التكاليف قد بلغت ما يقدر بنحو Vl*‏ مليون دولار حيث وافقت شركة (SAIC)‏ على دفع 
)£,* 0°( مليون دولار لتسوية القضية"". 





(15)https://www.washingtonpost.com/business/capitalbusiness/citytime-fallout-continues-for- 


saic/2012/04/13/gIQA71Q€tJT. story.html 


۸ أمن المعلومات وإدارة مخاطر تقنية المعلومات 





تحديد الأصول والتعرف على خصائصها 


مرحلة النشر: 

مرحلة النشر هي المرحلة التي يتم فيها إتاحة الأصول لموظفي المنظمة. ويتضمن 
الاهتمام الأساسي في هذه المرحلة: التوافق بين الأصل الجديد مع الأصول التنظيمية الحالية 
والتكامل مع الأنظمة الأخرى للمنظمةء وتجنب فقدان البيانات» وتقليل وقت التعطل عن 
العمل ورف عطقي مرعلة تفن امون libel Based]‏ كير cis‏ امول als‏ 
أدوات التفاضل هو تحديد ما إذا كان الأصل منتجاً das‏ أو كان PE‏ من «laxa jJ!‏ أو 
كان مبادرة في مقابل تحديث الأصول الموجودة. 


أحد أمثلة النشر البسيطة هو نشر جهاز حاسب Ji‏ جديد للموظف. ds‏ حين أن ذلك يبدو 
diras‏ دعونا نفكر في هذا الوضع قليلاً. لتبسيط الصيانة. لدى معظم CASRN‏ أدنى من 
متطلبات الآلات الجديدة سواء تم نشرها أم -Y‏ وسيكون جهاز الحاسب JYI‏ الجديد La ya‏ 
بإصدار معين من نظام التشغيلء على سبيل JULI‏ ويندوز V‏ هوم Windows 7 Home)‏ 
لكن المنظمة لديها ر ودعم نظام e 7 Professional)‏ لذا وقبل القيام 
بأي شيء آخرء يجب أن تمسح بيانات الحاسب الآلي ويجب أن يُعاد تثبيت نظام التشغيل. 
ومن ثم نقوم بتشيت تطبيقات مثل .(Adobe in (Microsoft Office)‏ وإذا 
كان هناك مجال نشط olè (Active Directory)‏ جهاز الحاسب الآلي يجب أن ينضم إلى 
هذا المجال. كما أن الموارد الأخرى مثل محركات الأقراص والطابعات المشتركة يتم إتاحتها 
للجهاز الجديد. وها أن تركيزنا على أمن المعلومات فإن علينا أن نذكر ob‏ برنامج مكافحة 
الفيروسات سيكون واحداً من أهم الأولويات. وبناءً على ذلك سيتم التأكد من تثبيت 
وتحديث برامج مكافحة الفيروسات قبل تسليمها إلى المستخدم النهاي. 

Loya العمل يبي التعديف )9545 اماد اة‎ oe التوفق‎ cus (lids 
تتمثل الخطوة‎ (Availability) والجاهزية‎ (Integrity) والتكامل‎ (Confidentiality) 
الأخيرة في نقل ملفات البيانات إلى الجهاز الجديد بما في ذلك الصور والعلامات المرجعية.‎ 
وخلال هذا الوقت لن يتمكن امستخدم من العمل على الجهاز القديم ولا على الجهاز‎ 
الجديد. وقد يتم تحديد موعد الانتقال من الجهاز القديم إلى الجهاز الجديد بعد ساعات‎ 
للتقليل من تأثير التغييرء أما إذا كان المستخدم أحد المسؤولين الكبار في المنظمة فعند ذلك‎ 
لن يتم الشعور بالارتباك في هذه العملية.‎ 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات ۳۹ 


الفصل الخامس 


هل اكتملت مرحلة النشر؟ لالم تكتمل بعد حيث لا ينبغي أن تعد مرحلة النشر كاملة 
إلا بعد إتاحة الفرصة للمستخدم النهائي للجلوس واختبار الجهاز الجديد. وتعرف هذه 
الفترة باختبار قبول المستخدم (User Acceptance Test)‏ ويجب تثبيت التطبيقات غير 
الموجودة: كما يجب تأكيد صلاحيات وصول الكتابة والقراءة في الأقراص المشتركة. وعند 
ذلك فقط تكون مرحلة الانتشار قد اكتملت. 


في عام ۲١٠١‏ تم نشر نظام جديد لتهيئة الطالب في جامعة جنوب فلوريدا. ولأن النظام كان 
جديداً وم يكن بديلاً لتطبيق موجود, لم يكن هناك قلق بخصوص عدم توافر الجاهزية أو حول 
التوقف عن العمل. وينبغي أن يتم دمج نظام التهيئة الجديد بشكل صحيح مع التطبيق الذي 
يحفظ بيانات الطالب وهو نظام معلومات الطالب. ويتوجب أن يكون الطالب قادرا على 
الوصول إلى الواجهة الأمامية الإلكترونية لإدارة بيانات التهيئة كما يتوجب أن يكون المشرف 


الأكاديمي قادراً على الدخول إلى النظام لإدخال معلومات الطالب. وكلا العمليتين يتطلب التكامل 
مع نظام التوثيق المركزي للجامعة. , 

بدأت مرحلة اختبار قبول المستخدم تجريبيا ب ٠٠١‏ طالب مع مشرفيهم الأكادهيين. ومع انتهاء 
هذه المرحلة والتأكد من أن جميع قضايا التكامل تم حلهاء تم توسيع نطاق النظام ليشمل بقية 
الطلاب وبذلك تم نشر النظام. 





وهذا مثال مبسط على مرحلة النشر. وفي ضوء هذا المثال تأمل في نشر نظام جديد للتحكم 
الإشرافي والحصول على البيانات à (Supervisory Control and Data Acquisition)‏ 
محطة توليد كهرومائية. ومع أن العملية معقدة وشاقة للغاية فإن المهام متشابهة daz‏ 
على سبيل JUL‏ إذا كنت تعمل في شركة تبيع هذا النظام فإن المهندسين الذين سيعملون 
على هذا النظام هم عملاؤك. ولأن الهدف هو الحفاظ على الإضاءة في بيوت الناس فإنه 
يتوجب تركيب النظام الجديد بالحد الأدنى من التأثير في مستخدمي المرافق الكهربائية في 
ا لمنازل. ومن أجل تبسيط الموضوع يمكننا أن نفترض أن ا مصنع لديه نظام إضافي يمكن 
تشغيله حتى يتم الانتهاء من العمل على النظام الجديد. وأخيراً فإن عملية اختبار النظام 
في غاية الأهمية. هل الضوابط تعمل كما تم تصميمها؟ هل تقنيات التعطل الآمن fail-)‏ 
(safe mechanisms‏ في المكان المناسب لتجنب الأعطال الخطيرة؟ هل الاختبار العملي» 
والتفاصيل الرئيسية للنظام”ستكمّلت بدون عطل؟ هل الاختبارات العملية ناجحة؟ 


ve.‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


تحديد الأصول والتعرف على خصائصها 


مرحلة الإدارة: 

مرحلة الإدارة هي المرحلة التي تكون فيها الأصول قيد الاستخدام. فعند الانتهاء من 
نشر الأصول يجب التأكد من أنها لا تطرح ثغرات جديدة للمنظمة. وبالنسبة للمبتدئينء 
دعنا نبدأ مثال صغير يركز على جهاز الحاسب الآلي الذي تم تركيبه مؤخرا. 

صافح الموظف وهو في غاية السعادة موظف خدمات الدعم الفني الذي قال جملته 
المعتادة «إذا واجهتك أي مشكلة اتصل بالدعم الفني lus‏ لحل المشكلة على الفور» 
وبعد ذلك انتقل الموظف مع جهاز الحاسب الآلي الجديد إلى التحدي التالي. وعلى الرغم 
من أن الدعم الفني عي لوجه قد انتهى في الوقت الحاضرء فإن هناك الكثير من الأمور 
التي تحدث في الواجهة الخلفية والتي تعد في كثير من الأحيان غير مرئية للمستخدم. 

وشيء واحد نود أن نفعله هو التأكد من مكان نشر الجهازء ومعرفة المستخدم الرئيسي 
للجهازء إذا كان ذلك ممكنا للتطبيق. وكذلك معرفة العنوان اطادي (MAC Address)‏ 
للجهاز (حتى نتمكن من تتبع الجهاز على الشبكة). وهذا يساعد على تتبع الأصول والذي 
سنناقشها لاحقا في هذا الفصل. وهناك العديد من الطرق للقيام بذلك» بدءا من جداول 
البيانات المبسطة للمنظمات الصغيرة ووصولا للبرمجيات الآلية الكبيرة التي يتم نشرها 
عادة مع الجهاز. 

ومن وجهة نظر dial‏ هناك paie‏ أساسي يجب القيام به دورياً من أجل الحفاظ على 
أمن الجهاز وعلى بيئة آمنة للحوس بة التنظيمية وهو: التحديثات الأمنية والتصحيحات 
(patches and security updates)‏ وسنناقش هذا العنصر بشكل مطول في الفصول 
القادمة لكن في الوقت الحالي يكفي القول بأن التصحيحات ضرورية لكل من نظام التشغيل 
والتطبيقات وبرامج مكافحة الفيروسات. 

وعلى الرغم من أنه تم التخطيط مبدئياً ليكون هناك نهاية لحياة أصول تقنية المعلومات, 
على سبيل JEBI‏ بعد ثلاث سنوات» إلا أن الحقيقة القاسية للعديد من تلك الأصول هو 
ارتباطها بقيود الميزانية والتي تؤدي لتمديد حياتها في المنظمة. وفي كثير من الأحيان يتم 
تطبيق مبدأ «إذا لم يتعطل لا تقم بإصلاحه» على تلك الأصول ومن ثم فإن المنظمات تجد 


أمن المعلومات وإدارة مخاطر تقنية ا لمعلومات ۲ 


الفصل الخامس 


نفسها تدير أجهزة عفا عليها الزمن. ومن المهم في هذه الحالة خصوصا مواكبة عقود 
البرمجيات وصيانة الأجهزة لأطول فترة ممكنة. وسيأت الوقت الذي تكون فيه تكاليف 
الصيانة تفوق تكلفة الجهاز الجديد. وهذه نقطة واضحة لتنبيه الإدارة للتوقف عن 
استخدام الجهاز الحالي القديم ولأن نستبدل به جهازا جديدا. 


مرحلة التقاعد: 

مرحلة التقاعد هي المرحلة التي يتم فيها التوقف عن استخدام الأصل الذي لا يشارك 
في تحقيق رسالة المنظمة. ولا يحدث ”التقاعد“ Ulo‏ بسبب شيء عفا عليه الزمن بل 
إن السبب الشائع لإحالة جهاز ما للتقاعد هو أن إزالته تكون أرخص من الاستمرار في 
استخدامه. والسبب الآخر هو استخدام أصول أحدث وأفضل مع ميزات متطورة. 

ويتركز الاهتمام الرئيسي في هذه المرحلة على حماية الملكية الفكرية للمنظمة وأداء 
الواجبات الائتمانية. وتحتوي الأجهزة المراد إحالتها للتقاعد عادة على بيانات» وبعض تلك 
البيانات يمكن أن تكون بيانات مقيدة. ومن المهم التأكد من أن هذه البيانات لا هكن 
استردادها من الأجهزة المراد إحالتها للتقاعد. على سبيل «JUL‏ قد تصل أجهزة الحاسب 
الآلي المنتتشرة في أحد الكليات إلى مرحلة تكون فيها غير قادرة على توفير الحد الأدنى من 
الخدمات للعميد وللطلاب» ويجب أن تحال هذه الأجهزة للتقاعد. وخلال مدة انتشارها 
من المحتمل أن يكون المستخدمون قد سجلوا على الجهاز بيانات الطلاب. وبطاقات 
الائتمان» وغيرها من البيانات الحساسة. وكجزء من إحالة تلك الأجهزة على التقاعد يجب 
أن تمحى جميع تلك البيانات. 

وف الفصول اللاحقة سنناقش كيفية التخلص من الأجهزة. ويبقى التبرع Ulo‏ أحد 
الخيارات» لذا تأكد أنه تم مسح البيانات من الجهاز قبل التبرع به. وإذا كان لدى منظمتك 
عقد مع منظمة أخرى للتخلص من المواد. تأكد من وجود بند الخصوصية في العقد وتأكد 
من وجود تعهد بأن الأجهزة التي تحتوي على البيانات سيجري التخلص منها بشكل مناسبء 
وليس فقط القيام بتهيئة الأجهزة لإعادة استخدامها في أغراض أخرى أو إلقاؤها في مكب 
النفايات. 


vey‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


تحديد الأصول والتعرف على خصائصها 


متى يكون «إحالة الأجهزة للتقاعد» أمراً غير قابل للتغيير؟ افترض أن أستاذاً في كلية الهندسة 
قد cule‏ +1 مليون: دولر مق" أموال للضم إلى salad!‏ قوت هذا الأسباة ago‏ جد dl‏ 
الكلية. لكن الأدوات التي يستخدمها تتطلب اتصالاً بالشبكةء وتعمل أدوات الأستاذ Ule‏ على 
أجهزة قدهة بنظام تشغيل ويندوز (Windows 2000) ٠٠٠١‏ إذ لم تعد مايكروسوفت تصدر أي 
تصحيحات لهذا النظام. هل حان الوقت للإعلان عن أن الجهاز أصبح مستهلكاً ويتوجب إزالته 


من الشبكة؟ 

الجواب: الحقيقة هو أنه لا يوجد شيء غير قابل للتغيير. فالقرار الذي يجب اتخاذه في هذه 
الحالة لا يعتمد على الجانب التقني فقطء بل يجب النظر أيضاً إلى البعد السياسي وعدم الاكتفاء 
بالمستوى الفني. وتتمثل وظيفة المحلل الأمني الجيد في توفير ا معلومات بحيث يتمكن ال مديرون 
من اتخاذ قرار مستنير يستند إلى حقائق متوازنة من الجهة التقنية والقانونية والسياسية وحتى 
التداعيات ذات الصلة بوسائل الإعلام. 





فلنأخذ المثال الذي ناقشناه في الفصل الثاني. جامعة ولاية الشمس المشرقة تخطط 
لاستبدال نظام البريد الإلكتروني الحالي بنظام جديد يعتمد على الحوسبة السحابية ويوفر 
الاستقرار والبديل الاحتياطي ومميزات جديدة لمجتمع المستخدمين. وفي الوقت نفسه 
سيسمح ذلك للجامعة بتهيئة أصولها الوظيفية لإعادة استخدامها في أغراض أخرى تدعم 
رسالة الجامعة. وفي وقت لاحق سنناقش التأثير ا محتمل للاستخدام ا مستمر لجهاز انتهت 
حياته الافتراضية في الجامعة وكما سنقوم بتحليل مخاطر ومنافع هذا الدعم. 


ونذكر هنا مثالاً لما هكن أن يحدث نتيجة لضعف إجراءات مرحلة التقاعد. ففي عام 7٠١9‏ تم 
شراء قرص صلب من موقع إي باي (eBay)‏ ووجد أن هذا القرص يحتوي على تفاصيل الدفاع 


الصاروخي الأمريي حيث يعود هذا القرص لشركة لوكهيد مارتن (Lockheed Martin)‏ وهي 
شركة متعهدة في وزارة الدفاع الأمريكية. 





التحديد النمطي لمواصفات النظام :(System Profiling)‏ 


في الأمثلة السابقة نظرنا إلى الأصول منفصلة عن بعضها: جهاز حاسب آلي محمولء 
وخادم» ومجموعة بيانات محددة. وقد تم ذلك بهدف التبسيط خلال مقدمة الموضوع. 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات Yer‏ 


الفصل الخامس 


لكن عند تقييم الأهمية والحساسية في الواقع العملي فإنه من الضروري النظر إلى الأصول 
في سياق النُظم التي تستخدم فيها. 

الأصل الذي قد يعد «ضرورياً» وهو منفصلء وقد يتم تصنفيه بأنه أصل «مطلوب» في 
الواقع العملي إذا كانت المنظمة استثمرت بشكل كاف في البديل الاحتياطي. وبالمثل OB‏ 
الأصل الذي يمكن أن يعد «مؤجلاً» وهو منفصل يكن في الواقع أن يكون أصلا «ضروريا» 
عند النظر | إليه في سياق النظام (ترخيص نظام الجدولة في شركة الطيران على سبيل المثال). 
ويمكن asá ol‏ مجموعة من الأصول الفردية في حد ذاتها ا «مؤجلة» لكن بالنظر إليها 
بوصفها مجموعة OS‏ أن تعض Yal‏ «حرجة». ويقدم هذا القسم DE: EE‏ للتحديد 
النمطي لمواصفات النظام. 

ويُعد التحديد النمطي لمواصفات النظام أكثر تعقيداً من قائمة جرد مبسطة لأجهزة 
الحاسب الآلي. إن تحديد جميع مكونات النظام والاعتمادية بين تلك المكونات قد يكون 
فنا بقدر ما هو علم. التحديد النمطي لمواصفات النظام هو تجميع كل الأصول التي 
تم جردهاء وتصنيفها حسب الوظيفةء وفهم الاعتمادية بين تلك الأصول. بمعنى آخر هو 
تكوين رؤية مكبرة لنظام أو عملية معينة. 

ووفقاً لتوجيهات إدارة مخاطر تقنية المعلومات (30-NIST SP800)‏ الصادرة عن المعهد 
الوطني للتقنية والمعايير "(National Institute of Standards and Technology)‏ 
فإن المنظمة تعمل على توفير الأجهزة والبرامج وواجهات النظام» والبيانات» وامموظفينء 
ومهام النظام وذلك أثناء أداء التحديد النمطي لمواصفات النظام. ونتيجة لذلك سيتم 
تحديد حدود النظام بشكل واضح جنبا إلى جنب مع الوظيفة والأهمية والحساسية. 

تأمل مرة أخرى في البيئة الجامعية:. وبالتحديد تأمل في بعض أنظمة تقنية المعلومات 
ا موجودة في الجامعة لتشغيل الجانب الأكادهي والجانب المهني من بيئة التعليم. إن نظام 
معلومات الطالب (Student Information System)‏ الموضح في الشكل )0-£( هو أحد 
تلك الأنظمة الأساسية. 


(16)NIST 528800-30 .http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf 
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الشكل (6-0): نظام معلومات الطالب 


Sn شبكة الحرم الجامعي : الإنترنت‎ 
الطالب‎ ). 
S $ S N is 5 الإداريون‎ 
O WO KO "9S9 KO 


خوادم الشبكة لأعضاء هيئة التدريس والإداريين ' 


خوادم التطبيقات T‏ 


خادم قاعدة البيانات 


نظام معلومات الطالب: 

يقوم نظام معلومات الطالب بالوظيفة التي يدل عليها اسم هذا النظام: يقوم النظام 
بتخزين معلومات الطالب مثل المساعدات AIUI‏ والدرجات» والعنوانء ورقم الضمان 
الاجتماعي» وبيانات الإرشاد الأكاديمي. وجدول المحاضرات. وهذا النظام جزء حيوي من 
عمليات الجامعة. ويوضح الشكل )0-£( äus‏ من نظام معلومات الطالب. ويستطيع 
الطلاب استعراض معلوماتهم من خلال واجهة مستعرض الإنترنت. ويستطيع كل من 
امشرفين الأكادمميين والأساتذة وا مسؤولين الآخرين من استعراض ال معلومات بنظرة أعمق 
من خلال واجهة جهاز الحاسب الآلي المكتبي. 

ووفقاً لتوجيهات إدارة مخاطر تقنية المعلومات (30-NIST SP800)‏ بمكننا التعرف 
على مواصفات النظام على النحو التالي. 
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الفصل الخامس 


مكونات الحاسب الآلي المادية: 

تتكفل البدائل الاحتياطية لخوادم الشبكة الخاصة بالطلاب بالتعامل مع واجهة الطلاب. 
وكل خادم في حد ذاته يُعد Yol‏ مؤجلا: بالإمكان أن يتعطل أحدها لكن كل ما يراه 
ا مستخدم النهائي هو تأثير بسيط à jas‏ الأداء يتثمل à‏ تأخير بسيط à‏ تحميل الصفحات. 
لكن الخوادم مجتمعة تمثل أصولا مطلوبة: إذا تم بطريقة ما فقدان اتصالها بالإنترنت OL‏ 
الطلاب لن يكونوا قادرين للوصول إلى تلك الخوادم. وتصبح تلك الخوادم خلال فترات 
Joel Jas‏ 1493959 ]18 فقوت اتضالها بالشكة 18 .3956 a‏ ادرا عان Joss]‏ 

ويمكن إجراء تحليل مماثل على جميع عناصر النظام» كما هكن فصلها إلى نظم فرعية 
مستويات مختلفة من الأهمية والحساسية. 


البرمجيات: 

يُعد نظام معلومات الطالب من الأنظمة المعقدة جداً التي لا هكن تطويرها داخل 
الجامعة. وهناك أنظمة تجارية وأنظمة المصادر ال مفتوحة لنظام معلومات الطالب Jio‏ 
.(OpenSIS)s (Elluciams Banner)‏ ويحتوي التطبيق على العديد من المكونات المعقدة 
LJ,‏ ما تتضمن الواجهة الخلفية قاعدة بيانات حيث يتم تخزين جميع ا معلومات فيها 
وتكون واجهة الطالب معتمدة على واجهة الشبكة, أما واجهة أعضاء هيئة me‏ 
الموظفين فتكون واجهة مخصصة. ويُنظر عادة إلى جميع البرمجيات والتراخيص ال مرتبطة 
lib‏ أصول ضرورية. 
البيانات: 

مانوع البيانات التي سيجري حفظها في نظام معلومات الطالب؟ يبرز هنا نوعان 
من البيانات والتي يجب التعامل معهما بأنها من البينات المقيدة: الدرجات الدراسية 
وأرقام الضمان الاجتماعي. الدرجات الدراسية هي معلومات لا يسمح بنشرها في دليل 
الطالب وهي محمية بقانون الحقوق التعليمية والخصوصية للأسرة لعام 191/6 Family)‏ 
(Educational Rights and Privacy Act‏ كما را أينا سابقا à‏ هذا الفصل. وأر قام الضمان 
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الاجتماعي (وبقية معلومات التعريف الشخصية) أيضاً محمية بقانون الحقوق التعليمية 
والخصوصية للأسرة بالإضافة إلى أنظمة الولاية والأنظمة الفيدرالية الأخرى. وإجمالا فإنه 
وبسبب نوع البيانات التي تحتوي عليها أنظمة معلومات الطالب فإن هذه النظم تصنف 
بأنها نظم مقيدة. 
واجهات النظام: 
واجهات النظام تحدد كيفية إدخال البيانات وكيفية استخراجها من النظام. تأمل في 
المدخلات التالية: 
٠‏ المتقدمون: هل هناك واجهة منفصلة يستخدمها المتقدمون لبرامج الجامعة؟ 
o‏ المساعدات المالية: هل هناك أي متطلبات للإبلاغ عن المساعدات اطالية؟ ماذا عن 
الاعتبارات الضريبية؟ 
٠‏ المنح الدراسية: كيف يتم مَنح المنح الدراسية والإبلاغ عنها؟ 
٠‏ الامتثال: هل هناك أي متطلبات للإبلاغ عن عدد الطلاب» ومتوسط Jahl‏ التراكميء 
أو أي نوع آخر من المعلومات إلى إدارة التعليم؟ 
٠‏ الدرجات الدراسية: كيف يتم إدخال الدرجات الدراسية؟ يدوياً el‏ آليا من نظام 
إدارة التعليم؟ 
٠‏ الفصول: كيف يتم إرسال الحذف والإضافة إلى نظام إدارة التعليم بحيث يتضمن النظام 
معلومات حديثة عن الذين تم تسجليهم وعن المخولين بالوصول إلى الفصول ال معينة؟ 
كل من هذه الواجهات تحتوي على بيانات يتم تبادلها بين نظام معلومات الطالب 
وأنظمة أخرى. وإذا كانت تلك البيانات تعد بيانات مقيدة فإن هذا التبادل يجب تشفبرهم 
أو على الأقل تشفير تلك البيانات المقيدة. 
يجب أن تكون بيانات اعتماد المستخدم, والتي تُستخدم للوصول إلى النظام» محمية 
خصوصا بيانات اعتماد الحسابات ذات الصلاحيات الواسعة. 
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من الممكن أن يتضمن التحديد النمطي لمواصفات النظام معرفة التطورات الأخيرة بالأدوات 
البرمجية. على سبيل «JULI‏ في شهر أكتوبر من عام eb ۲١٠١‏ إيريك بتلر Eric Butler)‏ 
وهو مطور لبرمجيات وتطبيقات الشبكة. بإطلاق ملحق لبرنامج فايرفوكس (Firefox)‏ پدعی 
(Firesheep)‏ وظيفته الأساسية «الاستماع» لحركة مرور الشبكة على وسائل الإعلام «d$ UA]‏ مثل 
نقاط الدخول إلى شبكة الإنترنت العامة بحثاً عن البيانات غير المشفرة. والنص التالي من الموقع 
الإلكتروني لإيريك بتلر"": 

من الشائع كثيراً أن تقوم المواقع الإلكترونية بحماية كلمة السر الخاصة بك عن طريق تشفير 


الدخول الأولي» لکن من الغريب أن يكون تشفير أي شيء آخر أمراً hob‏ وهذا يترك ملفات 
الارتباط (cookie)‏ ومن ثم المستخدم عرضة للهجوم. إن اختطاف جلسة بروتوكول انتقال النص 
المتشعب (HTTP)‏ (والذي يسمى أيضاً 28 عبارة عن اكتساب المهاجم للسيطرة على 
ملفات الارتباط لمستخدم ما والذي يتيح للمهاجم القيام بأي شيء يمكن peus‏ القيام به على 
موقع معين. إن ملفات الارتباط (cookies)‏ في الشبكة اللاسلكية ال مفتوحة تكون منتشرة في الهواء 
مما يجعل هذه الهجمات سهلة للغاية. 

أداة إيريك هذه ليست جديدة بل هي شكل من أشكال برامج التلصص على الشبكات أو ما يعرف 
ب .(sniffer)‏ وأحد المواقع الخدمية المعرضة للهجوم من قبل أداة إيريك هو موقع فيسبوك. 





وبهذه الطريقة فإن الهدف من التحديد النمطي لمواصفات النظام هو وصف النظام 
مع جميع تبعياته حتى نتمكن من اتخاذ قرار بشأن ما ينبغي تعديله (وصول ا مستخدم 
للنظام من خلال وسائل غير آمنة على سبيل (JELI‏ وتحديد نقاط العطل ال مفردة single)‏ 
(points of failure‏ وغيرها من الأمور. 


وهناك نظام تقني 551 T‏ > بالخصوص à‏ الجامعات ذات التركيز البحثي» وهو نظام الحوسبة 
gll‏ الأداء (high-performance computing system)‏ ويتكون هذا النظام عادة من 
مجموعة من الخوادم تعمل جنباً إلى جنب وتتقاسم فيما بينها gb‏ وموارد الذاكرة للعمل على 


مشكلة واحدة. وليس من النادر أن نرى مثات من الخوادم التي تم تكوينها بهذه الطريقة. وفي 
هذا الإعداد كل خادم على حدة مصمم أن يكون xol‏ مؤجلا. وعندما يتعطل أحد هذه الخوادم 
يكون هناك خلل بسيط جداً في الأداء بحيث يستمر العمل الأساسي. وتم تصميم النظام الشامل 
ليسمح بنسبة معينة من تلك الخوادم أن تكون خارج الخدمة ومع ذلك يستمر النظام في العمل. 





(17)http://codebutler.com/ firesheep/ 
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ملكية الأصول والمسؤوليات التشغيلية: 


ناقشنا في بداية هذا الفصل أن الهدف من تحديد الأصول والتعرف على خصائصها هو 
الجمع الاستباقي لكل المعلومات الضرورية عن أصول المنظمة والتي يمكن أن تكون مفيدة 
في الاستجابة للتهديدات التي تؤثر في تلك الأصول. وحتى الآن قمنا بجمع كل المعلومات 
الفنية اللازمة لهذا الغرض: ما هي الأصول؟ (تحديد الأصول). وما مدى أهمية هذه 
الأصول؟ (التعرف على خصائص الأصول). ولكن م نتعرض إلى pas‏ مهم من عناصر 
الاستجابة للتهديدات التي تواجه الأصول: من الذي يجب أن يرد على تهديد محدد يواجه 
الأصول؟ 


ولهذا السبب» وكجزء من التعرف على خصائص الأصولء فإنه من الضروري أيضا تحديد 
المسؤولية الفردية عن الأصل. في الشبكة المنزلية الخاصة بك هذا pol‏ سهل - أنت مسؤول 
عن جميع التوصيلات داخل المنزل» ومزود خدمة الإنترنت مسؤول عن أي شيء يحدث 
بالاتصال مع الشبكة. لكن في شبكات المنظمات. هذا ا موضوع أكثر تعقيداً. هناك 
مشكلتان محددتان من Ji]‏ أن تواجههما. المشكلة الأولى هي أنه من المرجح أن يكون 
أفراد مختلفون أو وحدات مختلفة مسؤولين عن وظائف مختلفة تتعلق بالأصل. والمشكلة 
الثانية هي أنه ليس من المرجح أن تكون قادراً على توقع كل ما يمكن أن يتعرض له أحد 
الأصول وذلك على الرغم من محاولاتك الحثيثة لتحقيق ذلك. 

المسؤوليات التشغيلية هي مسؤولية الفرد أو الوحدة عن وظيفة محددة تتعلق 
باستخدام أحد الأصول. وتحدد المسؤوليات التشغيلية دور أعضاء المنظمة المرتبطة بجميع 
الوظائف المحددة مسبقا والمتعلقة بالأصل. أما مالك الأصل فهو فرد أو وحده ملك 
مسؤولية تشغيلية لجميع الوظائف غير المتوقعة والمرتبطة بتأمين الأصل. 

وقد تلاحظ أن التعريف السابق لمالك الأصل لا يشير إلى الجهة التي تدفع الأموال لشراء 
الأضول» هذا لأنه كما مكن تشارك الإسهامات diez]‏ بالميزانية وملكية الأصلء مكتها أيضاً 
أن تكون منفصلة بعضها عن بعض. ويمكن توضيح ذلك من خلال JELI‏ التالي. 
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مخاطر غير متوقعة - قصة حقيقية 


في عام ٠٠١»‏ طلب أحد أعضاء هيئة التدريس في جامعة بحثية من رئيس القسم شراء عدد قليل 
من أجهزة الحاسب JYI‏ لإعداد مختبر في القسم. وتم وضع أجهزة الحاسب الآلي في غرفة في 
القسم» وقام عضو هيئة التدريس مع بعض طلاب الدراسات العلياء بتمويل من إدارة القسم 
بضبط أجهزة المختبر والبرمجيات التابعة لها. 

وهكذا فإن الإدارة الأكادمية تحملت كافة النفقات المتصلة بالأصول. وم يكن لوحدة تقنية 
ا معلومات في الجامعة أي دور في إنشاء المختبرء وفي الواقع» لم تكن وحدة تقنية المعلومات 


مشاركة في العملية. 

ولكن في ذلك الصيف تعرض أحد أجهزة الحاسب الآلي في المختبر للاختراق وتم استخدامه 
بوصفه جزءاً من الروبوتات لتشغيل هجمات القاموس (تخمين كلمات السر) على أجهزة حاسب 
آلي لوكالة مصنفة بأنها وكالة حكومية اتحادية. وأصبح جهاز الحاسب الآلي في المختير جزءاً 
من تحقيقات مكتب التحقيقات الفيدرالي (FBI)‏ وتلقت الجامعة استدعاء رسمي من مكتب 
التحقيقات الفيدرالي لإنتاج صورة القرص لجهاز الحاسب JYI‏ وأحال المستشار العام للجامعة 
الاستدعاء إلى وحدة تقنية المعلومات في الجامعة. ولأنه لم يكن لدى الإدارة الأكادهية الخبرة أو 
الموارد لتقديم صورة القرص» قامت Bas‏ تقنية المعلومات في الجامعة بإنجاز ا مهام المطلوبة 
وقدمت ال معلومات اللازمة لممكتب التحقيقات الفيدرالي. 





مخت أن يكنون واضحا من DIUI‏ أنه xo‏ قدت الإدارة الأكادمية الأموال Aad‏ 
الأصولء فإن المسؤولية التشغيلية تقع على عضو هيئة التدريس وذلك لجميع الجوانب 
المتوقعة للأصل Le‏ في ذلك تثبيت البرامج وتحديثاتهاء والنسخ الاحتياطي للبيانات» وإدارة 
حساب المستخدم. كما ينبغي أن يكون واضحا من المثال أن استدعاء مكتب التحقيقات 
الفدرالي كان سيناريو غير متوقع dub‏ والذي تم التعامل معه في نهاية المطاف من قبل 
وحدة تقنية المعلومات في جامعة جنوب فلوريدا. وفي هذا المثال كان أول تدخل عملي 
لوحدة تقنية المعلومات في المختبر عند تلقي الاستدعاء. من الذي يفترض أن يكون 
مالكاً للأصول: الإدارة الأكادهية» أو عضو هيئة التدريسء أو وحدة تقنية المعلومات في 


الجامعة؟ 
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ولأن عمليات أصول تقنية المعلومات تتطلب مهارات متخصصة فإن منظمات تقنية 
المعلومات تكون غالباً مسؤولة عن جميع المهام المتبقية والمتعلقة بأصول تقنية ا معلومات. 
ولأن معظم أصول تقنية المعلومات يتم شراؤها من قبل وحدات الأعمال ومن ميزانيتها 
الام قان وخ Cola L5‏ غالبا لا تكد مالك ليك الأول asas‏ أن Sese‏ 
محلل النظم على بينة من هذه الديناميكية وعواقبها لأن مالك الأصول هو الممسؤول عن 
تنسيق الجهود لضمان أمان الأصول. ويمكن أن يكون الفهم الواضح لهذا الجانب من 
معرفة خصائص الأصول مفيداً في تخطيط ردود الفعل للمخاطر المحتملة على الأصول. 
s‏ مثال آخر Ue»‏ ننظر في نوع معين من الأصول المعلوماتية الشائعة لدى الجامعات 
وهي «البيانات المؤسسية». وتعرّف جامعة جنوب فلوريدا البيانات المؤسسية على النحو 
التالي: تعرف البيانات المؤسسية بأنها جميع عناصر البيانات التي تم إنشاؤها واممحافظة 
عليها واستلامها أو إرسالها نتيجة لأنشطة الأعمالء أو التعليم» أو البحوث في نظام جامعة 
جنوب فلوريدا ويمكن أن تشمل واحدة أو أكثر من الخصائص التالية: 
٠‏ ذات صلة بالعمليات والتخطيطء والتحكم» ومراجعة وظائف الأعمال في كل من 
الوحدات الإدارية والأكادمية. 

e‏ بشكل عام هي بيانات مرجعية أو مطلوبة بين أكثر من وحدة إدارية وأكادمية. 
وتكون أيضاً مشمولة في التقرير الرسمي المنشور عن نظام الجامعة. 

٠‏ يتم إنتاج أو اشتقاق البيانات بواسطة وحدة تابعة لنظام جامعة جنوب فلوريدا أو 
موظفء أو إحدى الجهات التابعة أو وكيل لنظام جامعة جنوب فلوريدا. 

٠‏ مصنفة ومقيدة وفقاً لنظام وسياسة جامعة جنوب فلوريدا وقانون الولاية والقانون 
الفيدرالي. 

ومن السهل أن نرى أنه يمكن توزيع هذا النوع من البيانات في جميع أنحاء الجامعة 
وإلى مجموعة متنوعة من JWI‏ ومن المهم توضيح خطوط مسؤولية ال مستخدمين الذين 
يتعاملون مع هذا النوع من البيانات. وهنا b‏ دور ملكية الأصول المعلوماتية وا مسؤوليات 
التشغيلية للأصول المعلوماتية. 
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الفصل الخامس 


وبينما تتوقف الملكية الحقيقية للأصول على الجامعةء يجب أن يكون هناك شخص 
قادراً على اتخاذ قرار بشأن استخدام البيانات. ومادام الأمر كذلك فإن الجامعة تفوض 
السلطة المتعلقة بأمن البينات المؤسسية ومسؤوليتها النهائية إلى أفراد محددين داخل 
ا منظمة. ويعرف هؤلاء الأفراد ملاك الأصول المعلوماتية. 

أما المستخدمون الذين لديهم مسؤوليات تشغيلية للحفاظ على أمن البيانات ولكن 
لا ملكون تلك البيانات يُسمون بأمناء البيانات. ويُعد المشرف الأكاديمي مثالا على أمين 
البيانات لأنه يستطيع الوصول إلى كشف درجات الطالب بهدف مساعدته في تسجيل 
المواد الدراسية الأكثر ملاءمة من أجل التخرج في الوقت المحدد. ويتمتع المشرف الأكاديمي 
dus (de Bi 335] d act‏ فده daos N ang OBL‏ مالكا «alis‏ 


العقود غير المكتملةء والملكيةء والمسؤوليات المتبقية: 


هناك أساس نظري لتخصيص ملكية الأصول إلى الجهة المسؤولة عن التعامل مع جميع 
القضايا غير المتوقعة التي تواجه أحد الأصول. وهذا الأساس النظري هو «نظرية العقود 
غير المكتملة». وعموماً هكن للمشاركين في معاملة ما عدم كتابة العقد الذي يتوقع كل 
الاحتمالات والردود المناسبة لكل احتمال. ومن ثم فإن العقود غير مكتملة بالضرورة. ومن 
المفيد وضع آلية للتعامل مع القضايا غير المتوقعة عند حدوثها. 

الاقتصاديان سانفورد غروسمان (Sanford Grossman)‏ وأوليفر هارت (Oliver Hart)‏ 
وضعا فكرة «حقوق الضبط المتبقية» (residual rights of control)‏ كالية ممكنة للتعامل 
مع هذه الفجوات. و «حق الضبط المتبقي» هو الحق في استخدام الأصل كما تريد باستثناء 
حقوق الاستخدام التي استبعدت صراحة في العقد. ويقترح الاقتصاديان أن الملكية مردافة 
في معناها إلى «حقوق الضبط المتبقية». ويشير استخدام نظرية العقود غير المكتملة إلى 
أن الملكية (أو الحقوق المتبقية) يجب أن تُسند إلى المجموعة التي يؤثر مجهودها تأثيراً 
bus‏ في إنتاجية الأصلء وذلك لأن الحقوق المتبقية تحفز بقية الأطراف وبقوة للاستثمار في 
تطوير إنتاجية الأصل. 
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تحديد الأصول والتعرف على خصائصها 


ماذا عن المسؤوليات الأمنية؟ تشير نظرية العقود غير المكتملة إلى أن الجهة المسؤولة 
التي يجب أن تسند إليها أيضاً ملكية الأصول هي الجهة المسؤولة عن جعل الاستثمارات 
المتبقية واللازمة للحفاظ على الأصول مفيدة بالنسبة للمنظمة. وهذا سيحفز الجهة على 
القيام بالاستثمارات المناسبة في الأصول متضمناً ذلك استثمارات أمن المعلومات. 

ويمكن النظر إلى تنظيم تقنية المعلومات بوصفه مزوداً لجميع خدمات دعم تقنية 
المعلومات في المنظمة. وعلى هذا النحو فإن تحديد ملكية الأصول يتطلب مشاركة وحدة 
تقنية ا معلومات في مراحل التخطيط لكافة امشاريع التي تتطلب الدعم التشغيلي لتقنية 
امعلومات. oisg‏ ال مشاركة تؤدي إلى وثيقة تدعى باتفاقية مستوى الخدمة Service)‏ 
(Level Agreement‏ وهذه الوثيقة تحدد ما تقوم به وحدة تقنية المعلومات وكيف تقوم 
بذلك وذلك لإنجاز وإدارة توقعات العميل أو مالك النظام. 


المراجع: 


Grossman, S.l. and Hart, O.D. "The costs and benefits of ownership: a theory 
of vertical and lateral integration; The Journal of Political Economy, 1986.94(4): 


691719-. 


Hart, O.D. "Incomplete contracts and the theory of the firm,” Journal of Law, 


Economics and Organization, 1988,4(1): 119139-. 


وبهذه الخلفية نستطيع تحديث جدول التعرف على خصائص الأصول ليشمل المملكية 
وا مسؤولية على النحو obl‏ في الجدول (6-0). 
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الجدول )0-£(: التعرف على خصائص الأصول والملكية وال مسؤوليات 


المعلومات. التصحيحات - 


عضو هيئة التدريس 


وحدة تقنية المعلومات 


وحدة تقنية المعلومات 


وحدة تقنية المعلومات 


وحدة تقنية المعلومات 





نموذج حالة-ستكسنت :(Stuxnet)‏ 

تعد منشأة تخصيب اليورانيوم في مدينة (نطنز) أحد الأصول الإيرانية الأكثر أهمية 
وحساسية. ويعمل قرابة 020٠١‏ جهاز طرد مركزي لتخصيب اليورانيوم بهدف صنع أسلحة 
d 599‏ وذلك لكي تتمكن إيران من تطوير قنبلة نووية بنفسها. dlo‏ جانب ذلك هناك 
أجهزة حاسب آلي تستخدم لرصد ومراقبة أجهزة الطرد المركزي. 
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تحديد الأصول والتعرف على خصائصها 


وتشعر العديد من الدولء ما في ذلك الولايات المتحدة. بالقلق إزاء برنامج إيران 
النووي. وبعد النظر في جميع الخيارات المتاحة حددت هذه الدول أجهزة الحاسب dI‏ 
المستخدمة في رصد ومراقبة أجهزة الطرد المركزي بأنها أفضل الأصول للاستفادة من إبطاء 
التقدم الإيراني. وكانت النتيجة دودة حاسوبية متطورة وال معروفة على نطاق واسع باسم 
«ستكسنت» (Stuxnet)‏ وتفيد التقارير بأن هذه الدودة في ذروة فعاليتها قد استطاعت 
تعطيل ٠٠٠١‏ إلى 00٠١‏ جهاز مركزي تعمل في مدينة (نطنز) مما أخر تقدم إيران بنحو VA‏ 
شهرا. 

وقد تم تصميم هذه الدودة لتنتشر من جهاز مستهدف إلى جهاز آخر تلقائيا لتقوم 
بأداء وظيفتها ثم تدمر نفسها دون أن تترك أي أثر وراءها. لكن الأجهزة المستهدفة كانت 
تخضع لحراسة مشددة. ولتحقيق حماية إضافية b‏ تكن تلك الأجهزة متصلة بالإنترنت» 
معنى أنه لا هكن لأي هجوم من شبكة الإنترنت الوصول إلى تلك ال مرافق. ومن وجهة نظر 
المهاجمين فإن الأشخاص الذين يعملون في المنشأة يمثلون أصولا مفيدة جدا. فإذا كان من 
الممكن إقناع شخص واحد بحمل قرص يو إس بي (USB thumb drive)‏ مصاب بالدودة 
إلى المنشأة «xà‏ يمكن للدودة البدء بالقيام بعملها. وبناء على ذلك هكننا افتراض أن هذا 
ما حدث بالضبط. 


وتعد ستكسنت الدودة الحاسوبية الأولى في العام التي استخدمت كسلاح. 


المراجع: 


Sanger, D.E. "Obama order sped up wave of cyberattacks against Iran? New York 


Times, June 1,2012. 


Ed Barnes, “Mystery surrounds cyber missile that crippled Iran's nuclear weapons 
ambitions,” Fox News, November 26, 2010, http://www.foxnews.com/tech/201026/11// 


secret-agent-crippled-irans-nuclear-ambitions.html (accessed 2/4/2013). 
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الملخص: 

ناقشنا في هذا الفصل موضوع تحديد أصول تقنية المعلومات والتعرف على خصائصها في 
Sce inis‏ أن فكو doa‏ ا als Vel sl dale‏ كنا أن تعدره ciliis doa‏ 
اهتماماً وثيقاً بالاحتياجات الفريدة للمنظمة والموارد التكنولوجية الضرورية لنجاح المنظمة 
في تحقيق رسالتها. ويجب التعرف على خصائص الأصول التي تم تحديدها من أجل جمع 
كافة المعلومات الضرورية لحماية الأصول في أوقات الحرب والسلم. ويشمل التعرف على 
خصائص الأصول تصنيفها sUs‏ على الحساسية وأهمية الأصول. كما يجب تعيين المسؤوليات 
الفردية لجميع المسائل المعروفة وغير المعروفة والمتعلقة بأمن المعلومات والتي قد تنشاً 
أثناء استخدام الأصل. 


أسئلة مراجعة للفصل: 


E 


Y 


.V 


ما الأصول من وجهة نظر أخصائي أمن المعلومات؟ 

خلال عملية تحديد الأصولء لماذا من المهم البدء بتحديد الأصول المهمة بالنسبة 
Sá Ai J‏ 

ما الطريقتان الأكثر شيوعاً لمعرفة ما هو مهم بالنسبة للمنظمة؟ 

ما الأصول العامة؟ ما الأصول الذاتية؟ ما الفرق بينهما من جهة الجهد اللازم 
لتحديد كل منهما بالشكل الصحيح؟ 

ما قائمة المراجعة؟ وطاذا تعد قوائم المراجعة مفيدة في قطاع الأعمال بشكل "ele‏ 
lbs‏ لا تعد قوائم المراجعة مفيدة جدا في تحديد الأصول؟ 

ما الغرض من بيان رسالة المنظمة 3(Mission Statement)‏ ما الغرض من بیان 
رؤية المنظمة $(Vision Statement)‏ وما هو الفرق بينهما؟ 


ما الأصل المعلوماق؟ أعط بعض الأمثلة. 


http:// لمزيد حول هذا ا موضوع» ننصح بشدة الاطلاع على هذا الموقع الإلكتروني والكتاب الموجود على الرابط:‎ (V) 


fatulgawande.com/book/the-checklist-manifesto 


yoq 
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۸. ما الأصل الوظيفي؟ das]‏ بعض الأمثلة. 

.٩‏ ما أصل مكونات الحاسب JYI‏ المادية؟ Jae]‏ بعض الأمثلة. 

٠.ما‏ الأصل البرمجي؟ das]‏ بعض الأمثلة. 

Gs. VY‏ الأصل القانوني؟ أعط بعض الأمثلة. 

dI من العناصر المهمة للمعلومات الخاصة بأصول مكونات الحاسب‎ [PEE 
اطادية والتي يجب تتبعها. وما الهدف من ذلك التتبع؟‎ 

.ما عملية التعرف على خصائص الأصول؟ وطاذا تعد مفيدة؟ 

Gs. ME‏ حساسية الأصول؟ وما فئات الحساسية الشائعة التي تستخدم في التعرف على 
خصائص الأصول؟ 

5ما أهمية الأصول؟ وما فئات الأهمية الشائعة التي تستخدم في التعرف على 
خصائص الأصول؟ 

7.ما دورة حياة أصول تقنية المعلومات؟ وما مراحل دورة الحياة تلك؟ 


.ما اهتمامات أمن المعلومات خلال مرحلة التخطيط من دورة حياة أصول تقنية 


ا معلومات؟ 

.ما اهتمامات أمن المعلومات خلال مرحلة الاستحواذ من دورة حياة أصول تقنية 
ا معلومات؟ 

1.مااهتمامات أمن ا معلومات خلال مرحلة النشر من دورة حياة ول تقنية 
ا معلومات؟ 

.ما اهتمامات أمن المعلومات خلال مرحلة الإدارة من دورة حياة أصول تقنية 
ا معلومات؟ 

La YA‏ اهتمامات أمن ال معلومات خلال مرحلة التقاعد من دورة حياة أصول تقنية 
ا معلومات؟ 
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Ls Y Y‏ التحديد النمطي ممواصفات النظام S(System Profiling)‏ وكيف يؤثر في أمن 
المعلومات؟ 
.من مالك الأصل؟ 
".ما المسؤولية التشغيلية على الأصل؟ 


SA LAS مول‎ cabo عالة لا ركون فيها مالك الأصل‎ de Vs Jacl.YO 


أسئلة على نموذج الحالة: 
.١‏ ما الأصول المستهدفة من كل من الدودة الحاسوبية ستكسنت (Stuxnet)‏ والفريق 
الذي يقف خلفها؟ 
؟. IS Lilo‏ من تلك الأصول باستخدام نظام التصنيف المتبع في هذا الفصل. 
flo .۳‏ على المعلومات الواردة في المقالات المشار إليها في الحالة» يبدو أن إيران بذلت 
جهدا كبيرا في تحديد وحماية أصولها في مدينة (نطنز). ما الاحتياطات الإضافية التي 
oce‏ لإيران اتخاذها؟ 
نشاط التدريب العملى - تحديد أصول المقررات الدراسية: 
في هذا القسم سنستعين بوجودك بصفة طالب في هذا المقرر الدراسي. 
أجب عن البنود المرقمة أدناه وأرسل إجابتك إلى أستاذ المادة. 
تحديد الهدف: 


.١‏ ما هدفك لهذا المقرر الدراسي؟ يمكن أن يكون هدفك بسيطاً Jia‏ «الحصول على 
درجة النجاح»» كما مكن أن يكون هدفك أكثر دقة ك «النجاح في هذا المقرر 
الدراسى بدرجة ممتاز». 
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تحديد الأصول والتعرف على خصائصها 
القوى الخارجية في تشكيل الهدف: 
.Y‏ هل هناك قوى خارجية تعمل على تشكيل هدفك لهذا المقرر الدراسي؟ على سبيل 
JUI‏ 
٠‏ هل لديك منحة دراسية تتطلب منك ال محافظة على معدل دراسي معين؟ وهذه 


مشابهة للقوانين والتنظيمات التي يجب أن تلتزم بها العديد من المنظمات 
للقيام بالأعمال التجارية. 


٠‏ هل يساعدك والداك في دفع الرسوم الدراسية» وأنهما طلبا منك عدم حذف أي 
مقرر دراسي؟ والداك مثل مساهمي الشركة الذين عليهم التأكد من أدائك في 
مقابل مستوى هدف معين. 


٠‏ هل يجب أن تأخذ هذا المقرر الدراسي وأن تنجح فيه في هذا الفصل الدراسي 
من أجل التخرج ضمن إطار زمني معين؟ 
مناقشة واكتشاف الأصول مع زملائك في الصف: 
بشكل مشابه ممناقشة عملك مع الآخرين في بيئة العمل فإن التحدث مع زملائك الطلاب 
قد يؤدي إلى اكتشاف أصول مم تفكر فيها من قبل. 
Y‏ ما الأصول التي تعتقد بأنها تسهم ف تحقيق هدفك؟ وهنا بعض الأمثلة: 
٠‏ جهاز الحاسب Joss] SI‏ 
٠‏ أن يقوم أحد ما بإيصالك بالسيارة إلى الكلية يوميا. 
٠‏ هذا الكتاب الدراسي. 
ه٠‏ أستاذك. 


حاول التفكير خارج الصندوق للحصول على أشياء غير معروفة لديك حاليا. 
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تصنيف الأصول: 
€. صنف الأصول التي حصلت عليها كأصول معلوماتية أو أصول وظيفية أو أصول 
مكونات الحاسب امادية؛ أو أصول برمجية أو أصول قانونية. 


0. ما مدى حساسية الأصول التي حصلت عليها؟ وعند الإجابة عن هذا السؤال يجب 
الأخذ بعين الاعتبار بالنقاط التالية: 


٠‏ هل هناك مخاطر إذا نظر إليها أحد ما؟ 
٠‏ هل يتم تقييم درجة أدائك في هذا التدريب العملي؟ 
٠‏ ماالذي سيحدث إذا قام شخص ما بنسخ إجاباتك وتسليمها للأستاذ؟ 
٠‏ ما مقدار التأثير في درجاتك في حال فقدان إجابتك وعدم قدرتك على تسليمها 
في الوقت المحدد؟ 
ما الذي سيحدث إذا لم تتمكن من القدوم إلى الصف في يوم الاختبار؟ 
حاول التنبؤ بأسوأ سيناريو عند نظرك في هذه النقاط. 

تحديد ملكية وأمين الأصل: 

^ هل cal‏ مالك وأمين الأصول التي أدرجتها في القائمة؟ el‏ أنك» على سبيل «JULI‏ 
تستعير جهاز الحاسب الآلي ا محمول من شخص آخر؟ هل حقيقة أنك لست مالكا 
ل «أستاذك»؟ وهل تؤثر في هدفك بأي شكل من الأشكال؟ 

اختر ثلاثة من الأصول واشرح دورة الحياة: 

۷. خذ الكتاب الدراسي» على سبيل المثال. كم من التخطيط يشتمل عليه هذا الكتاب؟ 
هل كانت لديك الفرصة لشراء نسخة مستخدمة من الكتاب؟ هل اشتريت جهاز 
حاسب آلي محمول خصيصا لهذا المقرر الدراسي؟ هل ستقوم ببيعه بعد الانتهاء 
من هذا المقرر الدراسي؟ 


۸. في سياق هذا المقرر الدراسيء ما دورة حياة أستاذك؟ 


ne‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


تحديد الأصول والتعرف على خصائصها 


تمرين التفكير النقدى - استخدامات جهاز حاسب آلى مخترق: 


لقد رأينا في هذا الفصل أن المهاجمين يبحثون Ulo‏ عن طرق للحصول على السيطرة 
على جهاز حاسب Ji‏ متصل بشبكة الإنترنت. وقد حدد بريان كريبس «(Brian Krebs)‏ 
وهو صاحب مدونة إلكترونية مشهورة بعنوان (krebsonsecurity)‏ الاستخدامات ال ممكنة 
لجهاز حاسب آلي مخترق”"" (الشكل 0-0( 


الشكل )00(: استخدامات جهاز حاسب Ji‏ مخترق 








قع Jail‏ 
استخدام الزومبي لإرسال رسائل الكترونية E 5 m‏ 

NS A نشاط روبوت خادم ويب‎ / f 

استخدام الزومبي للابتزاز من خلال هجمات رفض الخدمة - p~ X‏ موقع لتحميل البرمجيات الخبيثة 

استخدام الزومبي للخداع بالنقر في الإعلانات المدفوعة سم كمبيوتر خادم للقرصنة/البرامج غير القائوئية 
خادم بروكسي المجهول مُخترق خادم لصور الأطفال الاباحية 
استخدام الزومبي لحل حروف التحقق (الكابتشا) موقع للرسائل الالكترونية المزعجة 
مزادات وهمية في موقع (eBay)‏ وموقع gine od, (PayPal)‏ رسائل الكترونية مزعجة عبر الويب 


i‏ هجمات البريد الاحتيال الخارجي المتقدم 
ioi ==‏ 
الإلكتروني | جهات اتصال البريد الالكتروني 





بيانات اعتماد بروتوكول نقل الملفات للمواقع 
بيانات اعتماد سكايب (SI‏ والمكالمات الصوتية عبر الانترئت 4 z‏ 
ii gan 4 (Skype)‏ عير JAY‏ تجميع الحسابات ذات العلاقة 


شهادات تشفير جانب المستخدم الوصول للبريد الالكتروئي للمنظمات 


cl‏ السك ال 
بيانات الحساب البنكي شخصيات ألعاب الانترنت 


بيانات الاعتماد سلع : 
بيانات البطاقات الانتمانية المالية افترا * i.‏ اسلع/عملات العاب الانترلت 
حساب الأسهم التجارية 4- $ مفتاح ترخيص ألعاب الحاسب الآلي 
حسابات الصناديق الاستثمارية/التقاعد أ مفتاح ترخيص نظام التشغيل 


أسئلة على تمرين التفكير النقدى: 
4. على فرض أن جهازك الشخصي تم اختراقه, قدّم شرحاً مختصراً لكيفية استخدام الجهاز 
من قبل المهاجم وذلك لإنجاز ثلاثة أنشطة من تلك الموضحة في الشكل (0-0). 
تصميم حالة: 


لتصميم الحالة الأمنية لهذا الفصل» سنعود لحالة جامعة ولاية الشمس المشرقة 
والمُستخدمة في الفصل الأول والفصل الثاني. إذا كنت تذكر من الفصل الثاني أن عميد شؤون 


(19)http://krebsonsecurity.com/wp-content/uploads/2012/07/valueofhackedpc.png 
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الفصل الخامس 


الطلاب طلب أن نضع مقارنة أولية بين الحفاظ على خدمات البريد الإلكتروني للطلاب 
داخل «Asa‏ أو استخدام (البنية التحتية كخدمة) (Infrastructure as a Service)‏ 
لتوفير الدعم لمكونات الأجهزة المادية» أو استخدام حلول (البرمجيات كخدمة) Software)‏ 
(as a Service‏ من خلال الاستعانة jolas‏ خارجية لتأمين الخدمة. 

والآن وبعد أن أخذنا نظرة فاحصة على الأصول LSe‏ أن ترى شيئاً واحداً بوضوح وهو 
أنه سيكون هناك تغيير كبير في الأصول اللازمة لدعم كل خيار. وهذه الأصول لا تقتصر على 
أصول مكونات الحاسب الآلي المادية. فهي تشمل أيضا الإنشاء المحتمل للأصول المعلوماتية 
الجديدة مثل التقويممات والوثائق. هل هذه الأصول ستكون داعمة لأهداف الجامعة؟ 

لتحقيق أهداف هذا التصميم» تأمل في الأصول التالية: 

٠‏ بيانات البريد الإلكتروني للطلاب. 

٠‏ برمجيات خادم البريد الإلكتروني. 

٠‏ المكونات المادية لخادم البريد الإلكتروني. 

٠‏ التخزين الخارجي. 

٠‏ اتفاقية صيانة المكونات المادية للخادم. 

dlo ٠‏ برمجيات خادم البريد الإلكتروني واتفاقية الدعم الفني. 

Ys ٠‏ ساعة عمل أسبوعياً للموظف القائم على دعم الخادم. 

ويمكن الاطلاع على وصف للأجهزة الداعمة للبريد الإلكتروني للطلاب من خلال الرجوع 
إلى تصميم الحالة في نهاية الفصل الثاني. افترض ما يلي: 

e‏ مكونات الأجهزة المادية مملوكة بالكامل لإدارة خدمات الطلاب. 


٠ه‏ تم شراء برنامج البريد الإلكتروني» ويدعى (Sendmail)‏ كتطبيق للتعامل مع البريد 
الإلكتروني الصادر والوارد. وهناك عقد سنوي يغطي تحديثات الصيانة والتصحيحات 
والدعم الفني. 


yw‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


تحديد الأصول والتعرف على خصائصها 


(Infrastructure as a Service) يتم تسعير خدمات (البنية التحتية كخدمة)‎ ٠ 
مقدار عرض النطاق الترددي للشبكة ال مستخدمة من قبل‎ (Y) باستخدام معيارين:‎ 
السعة التخزينية ا مستخدمة من قبل النظام.‎ (Y) 9 chl 


٠‏ تم حذف البريد الإلكتروني للطلاب بعد تخرجهم ب ۷ أيام. 
أسئلة على تصميم الحالة الأمنية: 


ا مطلوب منك أن el a‏ تقريراً جديداً يحتوي على العناصر التالية. وبإمكانك استخدام 
النموذج أدناه لإدراج الأصول. 


بيانات البريد الإلكتروني للطلاب 


E 51 1 1 77‏ اك 
سسس | | | | || 


اتفاقية صيانة المكونات المادية 


اتفاقية الدعم الفني لبرنامج البريد 
الإلكتروني 





.١‏ قم بتصنيف الأصول الداعمة للبريد الإلكتروني الداخلي إلى أصول: معلوماتيةء أو 
وظيفية» أو برمجية» أو مكونات الحاسب اطادية» أو مالية. 


.Y‏ هل بإمكانك تحديد الأصول «الأساسية» في القائمة؟ ما الأصل المركزي للنظام الذي 


تقوم بقية الأصول بدعم وجوده؟ 


أمن المعلومات وإدارة مخاطر تقنية المعلومات 1 


الفصل الخامس 


yie 


*. في أي مرحلة من مراحل دورة حياة أصول تقنية المعلومات يعيش خادم البريد 


الإلكتروني؟ ما نوع الأصول المطلوبة إذا تم اتخاذ قرار بالاحتفاظ بالبريد الإلكتروني 
في موقع الجامعة؟ 


. حدد وبين في التقرير أي هذه الأصول لن يكون هناك حاجة إليه إذا تم نقل البريد 


الإلكتروني للطالب إلى حلول البنية التحتية كخدمة .(IaaS)‏ وكرر العملية نفسها 
لحلول البرمجيات كخدمة (SaaS)‏ هل النْسَّخ الاحتياطية لبيانات البريد الإلكتروني 
d és‏ مع حلول البنية التحتية كخدمة (TaaS)‏ وحلول البرمجيات كخدمة (SaaS)‏ 
ولماذا؟ فكر في آثار التكلفة. 


. هل سيكون هناك منحنى للتعلم (learning curve)‏ مع اعتماد النظام الجديد 


للبريد الإلكتروني خارج الجامعة؟ 


. حدّد وبين في التقرير الأصول «الخفية» التي يكون هناك حاجة لها لدعم الضبط 


الحالي في موقع الجامعة. وكيف تتغير هذه الأصول بالانتقال إلى حلول خارج موقع 
الجامعة؟ ومن الأمثلة على ذلك ما يلي: 


IS] ٠‏ كان لديك مشكلة في حساب بريدك الإلكتروني في الجامعة. من الذي تتصل 
إليه Val‏ لحل هذه المشكلة؟ 

٠‏ كيف تنتقل رسالة البريد الإلكتروني من المرسل وتصل إلى المستقبل؟ 

٠‏ إذا el‏ الطالب بالخطأ بحذف صندوق البريد الوارد بأكمله. كيف يتم استرداده؟ 


. قم بتصنيف الأصول وفقاً لوجهة نظرك بالنسبة لحساسيتها وحرجيتها. علل إجابتك. 


. هل هناك فرق في الأهمية بين صناديق البريد الإلكتروني لمجموعة مختلفة من 


الطلاب؟ 


9. ناقش في هذا التقرير الوقت المحتمل للانتقال إلى حلول خارج موقع الجامعة. 


أمن المعلومات وإدارة مخاطر تقنية المعلومات 


الفصل السادس 


التهديدات والثغرات الأمنية 

نظرة عامة: 

بعد الفصول الأولية التي قدمت do‏ عامة عن مجال المخاطرء ألقينا في الفصل الرابع 
نظرة أولية على مكونات مشهد أمن المعلومات - الأصول والتهديدات والثغرات الأمنية, 
والضوابط. ثم بدأنا بأخذ نظرة أعمق على هذه المكونات. وفي الفصل الخامس ناقشنا 
موضوع الأصول متضمنا ذلك أنواع الأصول وتصنيفاتها والتعرف على خصائصها. 

وفي هذا الفصل سوف نلقي نظرة فاحصة على التهديدات بحيث يجب أن يكون لديك 
في نهاية هذا الفصل فهم واضح لجوانب المختلفة من التهديدات Le‏ في ذلك: 

٠‏ نماذج التهديدات» ودمج مكونات التهديد. 

٠‏ القوى التي يمكن أن تؤثر في الأصل (الوسطاء). 

٠‏ الطرق التي من خلالها يستطيع الوسطاء أن يؤثروا في الأصل (الأنشطة). 

٠‏ الثغرات الأمنية وعلاقتها بالتهديدات. 
مقدمة: 

عرّفنا التهديدات بأنها قدرات الخصوم ونواياهم وأساليب هجومهم لاستغلال الأصول 
أو إحداث ضرر فيها. وهذا التعريف يتفق مع تعريف التهديدات الصادر عن إدارة 
مخاطر تقنية ال معلومات NIST SP800)‏ -30( والذي ينص على أن التهديد هو sl»‏ ظرف 
أو حدث من المحتمل أن يؤثر سلبا في العمليات التنظيمية والأصولء والأفرادء والمنظمات 
الأخرى أو يؤثر سلبا في الدولة من خلال نظام المعلومات عن طريق الوصول غير ا مصرح 
به أو تدمير أو إفشاء أو تعديل المعلومات و/أو الحرمان من الخدمة»'". وبعد أن تقوم 
dttp://csrc.nist.gov/publications/nistpubs/800 -30-revl/sp800 30 rl.pdf (1)‏ في حين أن هذا التعريف 

أكثر شمولا نعتقد أن تعريفنا للتهديد أسهل للتذكر ويغطي العناصر الأساسية للتهديد. 
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الفصل السادس 


المنظمة بتحديد أصولها والتعرف على خصائص تلك الأصول فإن الخطوة التالية في تحليل 
متطلبات أمن ال معلومات هي تحليل التهديدات التي تواجهها المنظمة. ورأينا في الفصل 
الأخير أن الكثير من أنشطتنا اليومية تعتمد على توافر الأصول» ورأينا كيف أننا نتعامل مع 
الأصول بأنها من الأمور المسسَلم بها. ما الذي سيحدث إذا لم نتمكن فجأة من الوصول إلى 
تلك الأصول؟ 

وبوصفك محلل أمن معلومات» سيجري سؤالك بشكل دوري عن أهمية التهديدات 
المستجدة. هل حقيقة أن شركة مايكروس وفت اكتشفت أن برنامج إنترنت إكسبلورر 
(Internet Explorer)‏ معرض لهجمات البرمجة النصية للمواقع الإلكترونية ا ملشتركة 
(cross-site scripting)‏ تجعلك تقرر بأن ذلك 343 14 Lbs‏ ما فيه الكفاية للقيام 
بالتحديث الاجباري لجميع أجهزة الحاسب الآلي في المنظمة خلال الأربع وعشرين ساعة 
القادمة؟ وهذا شبيه لقرار سكان ولاية فلوريدا الذي يجب أن يتخذوه في كل مرة يقرؤون 
فيها عن إعصار قادم من المحيط الأطلسي - هل التهديد في هذه المرة خطير ها يكفي لشراء 
مولد كهرباي لاستخدامه في حال تعطل الطاقة لفترة طويلة؟ 


نماذج التهديدات: 

تنشا التهديدات من أشخاص لهم دوافع (الوسطاء) للقيام بأنشطة محددة لاستغلال 
الأصول. إن التفاعل بين الوسطاء والأنشطة والأصول ذوي العلاقة يمثل نموذج التهديد الذي 
arlo‏ ا منظمة. وهذا التفاعل موضح في الشكل .)١١1١(‏ وف بقية هذا الفصل سنستخدم 
PE‏ من نموذج تصنيف الحوادث المعروف ب (VERIS)‏ وهو الجزء الذي يتعامل مع 
اليد ات liess‏ سانا للمناقشة في هذا الفصل. وبينما يعتمد بعض الوسطاء والأنشطة 
في هذا الفصل على موذج (VERIS)‏ فإن فكرة كون التهديدات أنشطة للوسطاء بهدف 
التأثير في الأصول هي فكرة عامة إلى حد ما. وقد سبق أن ناقشنا موضوع الأصول. وفي هذا 
الفصل نركز على العناصر المتبقية من التهديد وهى: الوسطاء والأنشطة. 


Verizon enterprise risk and incident sharing) نموذج شركة فيريزون مقاييس مشاركة الحوادث والمخاطر‎ (Y) 
ويتضمن هذا النموذج عنصراً رابعاً يشرح كيفية تأثر الأصول. ويتم دراسة نتائج التهديدات‎ .(metrics framework 
فصل إدارة ال مخاطر.‎ à كجزء من تحليل المخاطر والتي سنقوم بمناقشتها‎ 
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التهديدات والثغرات الأمنية 


الشكل :)١-5(‏ نموذج للتهديد“ 


نموذج التهديد (STRIDE)‏ من مایکروسوفت“ 
يعد نموذج (VERIS)‏ واحدا من النماذج العديدة التي يمكن أن تساعد في تصنيف التهديدات. وبالمثل 
فان نموذج (STRIDE)‏ أحد النماذج ال مستخدمة في تصنيف التهديدات» وقد سمي باسم الفئات الست 
ا مستخدمة في تصنيف تهديد معين. 
انتحال الهوية als :(Spoofing identity)‏ أمثلة انتحال الهوية هو الوصول غير المشروع للنظام 
واستخدام معلومات الاعتماد مستخدم آخر مثل اسم ا مستخدم وكلمة المرور. 
العبث بالبيانات :(Tampering with data)‏ وينطوي العبث بالبيانات على التعديلات الخبيثة في 
البيانات. ومن الأمثلة على ذلك التغييرات غير المصرح بها على البيانات الثابتةء مثل تلك الموجودة في 
قاعدة البيانات» وتغيير البيانات التي تنتقل بين أجهزة الحاسب الآلي عبر شبكة مفتوحة مثل الإنترنت. 
التنصل :(Repudiation)‏ ترتبط تهديدات التنصل بال مستخدمين الذين ينفون تنفيذهم لنشاط معين 
دون وجود وسيلة لإثبات خلاف ذلك لدى الأطراف الأخرى-على سبيل «JUL‏ مستخدم يقوم بإجراء نشاط 
غير قانوني على نظام يفتقر لقدرة تتبع العمليات المحظورة. ويشير عدم التنصل (Non-repudiation)‏ 
إلى 8548 النظام على مواجهة تهديدات التنصل. Ys‏ شراء ء ا مستخدم لغرض ما قد يستوجب التوقيع على 
إيصال الاستلام. ويمكن للمورد استخدام الايصال الموقع ليكون دليلا على أن ا مستخدم استلم ا مشتريات. 
الإفصاح عن ال معلومات (Information disclosure)‏ وتتضمن تهديدات الإفصاح عن المعلومات 
انكشاف المعلومات إلى أشخاص يفترض ألا يكون لديهم وصول لتلك المعلومات - على سبيل JELI‏ قدرة 
المستخدمين على قراءة ملف ما بحيث لم eu‏ لهم حق الوصول لهذا ا ملف أو قدرة المتسلل على قراءة 
البيانات المنتقلة بين جهازي حاسب آلي. 
رفض الخدمة (Denial of service)‏ وتجبر هجمات رفض الخدمة النظام على رفض تقديم الخدمة 
إلى مستخدمين حقيقيين - على سبيل «JULI‏ جعل خادم الشبكة غير متوفر أو صالح للاستخدام مؤقتا. 
ويجب الحماية ضد أنواع معينة من هجمات رفض الخدمة وذلك لتحسين الجاهزية والاعتمادية. 
رفع الامتيازات «(Elevation of privilege)‏ وف هذا النوع من التهديد يحصل ال مستخدم الذي لا ملك 
امتيازات الوصول إلى النظام على تلك الامتيازات ومن ثم يكون لديه حق الوصول لاختراق أو تدمير 
النظام بأكمله. وتتضمن تهديدات رفع الامتيازات تلك الحالات التي يتمكن فيها المهاجم من الاختراق 
الفعال لجميع دفاعات ehl‏ ويصبح جزءا من النظام اموثوق نفسه. وهذا وضع خطير حقا. 





(Y)‏ نموذج التهديد (51۸12۴)-شركة مايكروسوفت: البرمجيات. تم استرجاع النموذج من الموقع الإلكتروني التالي: 
https://msdn.microsoft.com/en-us/library/ee823878(v-CS.20).aspx‏ 
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ويعد نموذج (VERIS)‏ نموذجاً عاماً يسمح لأي تهديد» Ue‏ في ذلك التهديدات التي b‏ 
تكتشف بعد. ليكون ضمن هذا النموذج. وينسجم النموذج أيضاً مع الأدبيات الأكادمية 
حول هذا ال موضوع وكذلك مع نماذج المخاطر القياسية التي أخذناها بعين الاعتبار لاحقاً à‏ 
هذا الكتاب. ومن هنا تأت أهمية استخدام نموذج التهديد (VERIS)‏ 


وسيط التهديد: 
وسيط التهديد هو فرد أو منظمة أو مجموعة تقوم بتأسيس نشاط تهديد معين. ويمكن 
تصنيف وسطهء التهديد إلى ثلاثة أنواع مختلفة. ولكل منها دوافع مختلفة للمبادرة في 
ه٠‏ الوسطاء الخارجيون. 
٠‏ الوسطاء الداخليون. 

٠‏ الشركاء. 
الشكل (Y-)‏ يوضح تكرار الفئات المختلفة لوسطاء التهديدات حسب تصنيف نظام 
(VERIS)‏ منذ نشأته عام ۲٠٠٤‏ . ومن الواضح أن عدد الهجمات الداخلية قد انخفض 

بشكل كبير منذ عام "٠١1‏ في حين زاد عدد الوسطاء الخارجيين خلال الفترة نفسها. 


الشكل (Y-3)‏ نسب الاختراقات لوسطاء التهديد خلال فترة زمنية 
نسب الاختراقات لوسطاء التهديد خلال فترة 
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)€( لا يصل مجموع الأرقام إلى ٠٠١‏ لأن العديد من الحوادث لديها أكثر من نوع واحد من الوسطاء. 
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الوسطاء الخارجيون: 


كما يوحي Los‏ فإن الوسطاء الخارجيين هم وسطاء خارج امنظمة ولا تربطهم أي 
صلة بال منظمة نفسها. ووفقا لتقرير خرق OBL!‏ ل (VERIS)‏ لعام 5١١١‏ فإن (XAA)‏ 
من الهجمات في عام ٠7١١7‏ نشأت من وسطاء خارجيين. وسنناقش الوسطاء الخارجيين 


الشكل :(Y-3)‏ الوسطاء الخارجيون 








مجموعات الناشطين: 
أصبحت مجموعة (المجهول) منتشرة في السنوات القليلة الماضية باعتبارها منظمة 
«اختراق سياسية» «(hacktivist)‏ وهذه المجموعة تخلط بين النشاط السياسى وأنشطة 


)5( http://www.verizonenterprise.com/resources/reports/rp data-breach-investigations- 


report-2012 en xg.pdf 
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قرصنة المعلومات. وتتكون مجموعة (المجهول) من قراصنة المعلومات وغيرهم من 
المتحمسين للإنترنت» وهم أعضاء مجهولون يصورون أنفسهم على أنهم يعارضون كل أنواع 
القمع الموجودة, كما يعارضون رقابة الجهات الحكومية على الإنترنت في جميع أنحاء العام. 
وهنا نذكر قانئمة مختصرة من آخر الأنشطة الاستغلالية لمجموعة (المجهول). 
آخر أنشطة مجموعة (المجهول) الاستغلالية 
أغسطس :۲١٠۲‏ قامت مجموعة مرتبطة بمجموعة (المجهول) بالإطاحة بعدة مواقع حكومية 
في أوغندا. وقد تم ذلك احتجاجاً لتعليق قانون يُعد جائراً لأعضاء مجتمعات المثلية الجنسية في 
أوغندا. وتركت المجموعة الرسالة التالية: «ستواصل مجموعة (المجهول) استهداف المواقع الإلكترونية 
الحكومية والاتصالات في أوغندا حتى تعامل الحكومة الأوغندية جميع الناس بما فيهم المثليين 
بالمساواة». 


سبتمبر :7١1١1‏ ادعت مجموعة (المجهول) فصل خوادم اسم المجال (Domain Name Servers)‏ 


التابعة لشركة (GoDaddy)‏ مما أثر في العديد من الشركات, [NV‏ من المواقع الإلكترونية للمجتمعات 
الصغيرة ووصولا للمنظمات الكبيرة مثل شركة Hills Staffing Services)‏ وهي شركة توظيف 
مهنية استشارية. 


أكتوبر 7017: هددت مجموعة (Us all)‏ ملاحقة أهداف في السويد رداً على هجمات 
مزود خدمات الإنترنت (PRQ)‏ وهي الشركة المضيفة لموقع (Pirate Bay)‏ وموقع ويكيليكس 
.(Wikileaks)‏ 





الحكومات الأجنبية: 

وفقاً للتقرير الصادر عن مكتب مكافحة التجسس الوطني في شهر أكتوبر من عام 
65" فإن «المعلومات الاقتصادية والتقنية الأمريكية الحساسة مستهدفة من قبل أجهزة 
المخابرات وشركات القطاع الخاص والمؤسسات الأكاديمية والبحثية» ومواطني عشرات 
الدول». وتضمنت إحدى الحوادث التي حظيت بتغطية إعلامية الاشتباه بسرقة تصاميم 
طائرات عسكرية (الشكل 6-5 والشكل 0-7( 


(6) http://www.ncix.gov/publications/reports/fecie all/Foreign Economic Collection, 2011.pdf 
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الشكل (0-5): الطائرة الحربية (F-22)‏ المصممة من شركة لوكهيد الأمريكية 
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ووفقا للتقرير فإن الصين تأت على رأس القائمة وذلك للهجوم المتكرر للقراصنة الصينيين 
على شركات القطاع الخاص الأمريكية. وتجري الاستخبارات الروسية أيضا نشاط تجسس 
إلكتروني ضد أهداف أمريكية وذلك لجمع المعلومات الاقتصادية والتكنولوجية. 
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تقرير شركة (Mandiant)‏ للتحليل الأمني بخصوص وحدة جيش التحرير الشعبي الصيني 


في الثامن عشر من شهر فبراير من عام 7١1‏ أصدرت شركة التحليل الأمني (Mandiant)‏ تقريراً يبين 
وحدة من جيش التحرير الشعبي الصيني (Chinese Peoples Liberation Army)‏ والتي تدعى 
(APTI)‏ بأنها مصدر لبعض أكثر الهجمات الإلكترونية ضرراً على الحكومة الإلكترونية وشبكات الشركات. 
ودلت تحقيقات شركة ob (Mandiant)‏ وحدة (APTI)‏ كانت تعمل منذ عام 7٠٠١7‏ وأنها استهدفت 
مجموعة واسعة من الأهداف. 

١6٠١ ضد ما يقارب من‎ (APTI) بتحليل اختراقات وحدة‎ (Mandiant) وقت التقرير قامت شركة‎ às 
في مدينة شنغهاي,‎ gä (APTI) على تأكيد أن وحدة‎ 85286 (Mandiant) من الضحايا. وكانت شركة‎ 
كما كانت قادرة على التعرف على عناصر مختلفة من أدوات تلك الوحدة وتكتيكاتها وإجراءاتها. وكشف‎ 
وذلك لإقناع القراء أن هذه الوحدة تدار من قبل‎ (APTI) التقرير عن ثلاث من الهويات داخل وحدة‎ 
أن تلك الهويات تتبع لجنود‎ (Mandiant) أشخاص وليس من قبل روبوتات إلكترونية. وتعتقد شركة‎ 
ينفذون الأوامر المعطاة لهم من قبل رؤسائهم.‎ 

Flog‏ على وجود التنظيم لأكثر من V‏ سنوات تعتقد شركة (Mandiant)‏ أن وحدة (APT1)‏ هي كيان 
ترعاه الحكومة الصينية وتحظى بدعم مباشر منها. وتشير التحقيقات كذلك إلى أن الوحدة رقم CA)‏ 
والتابعة لجيش التحرير الشعبي الصيني OSE‏ أن تكون نفسها وحدة (APTY)‏ نظراً للتشابه في المواقع 
بين وحدة رقم (WA)‏ ووحدة (APTI)‏ وتشير تقارير (Mandiant)‏ إلى أن مقر الوحدة gi‏ في مبنى 
مساحته (Y, Y)‏ قدم مربع ويتكون من W‏ طابقا وبني في عام Y V‏ 

وقد حددت شركة ١5١ (Mandiant)‏ شركة ٠ à‏ صناعة رئيسية تم اختراقها من قبل وحدة (APTI)‏ 
وقامت وحدة (APTI)‏ بسرقة كميات كبيرة من بيانات الملكية الفكرية الثمينة من الشركات التي 
اخترقتهاء كما قامت بتتبع شبكات تلك الشركات على مدى عدة سنوات. وبلغ متوسط مدة الهجوم YOT‏ 
logs‏ حيث استمر أطول هجوم تم رصده lags 1/14 Bab‏ ها يعادل أربع سنوات وعشرة أشهر. ويبدو 
أن تركيز وحدة (APTI)‏ كان على سرقة ا ملكية الفكرية ها في ذلك امخططات التقنية وعمليات التصنيع 
وخطط العمل. وفي حالة واحدة لاحظت شركة (APTI)‏ أن وحدة (APTI)‏ قامت بسرقة 1,0 تيرابايت 
من البيانات ا مضغوطة من منظمة واحدة وذلك على مدى فترة زمنية بلغت ٠١‏ أشهر. وتستهدف وحدة 
(APTI)‏ الشركات التي تنتمي للصناعات التي حددتها الصين بأنها إستراتيجية لنمو الدولة. 

وتتطلب وحدة (APTI)‏ أن يتم تدريب موظفيها على أمن الحاسب JYI‏ وأن يكونوا ماهرين في اللغة 
الإنجليزية. وتوظف هذه الوحدة بشكل كبير من كليات العلوم والهندسة من المعاهد والجامعات مثل 
معهد هاربين للتقنية (Harbin Institute of Technology)‏ وجامعة تشجيانغ لعلوم الحاسب الآلي 
والتقنية (Zhejiang University School of Computer Science and Technology)‏ 
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ولكن هذا ليس كل ما في الأمر. فحلفاء الولايات المتحدة وشركاؤها يستخدمون إمكانية 
وصولهم إلى مؤسسات الولايات المتحدة الأمريكية للوصول إلى المعلومات» وذلك باستخدام 
العديد من أنشطة التهديد. وتقدر خسائر التجسس الاقتصادي على نطاق واسع قد لا 
يكون له أي معنى لتتراوح الخسائر بين Y‏ مليار إلى 6٠١‏ مليار دولار أو أكثر في العام الواحد. 


التجسس الصناعي 


في شهر ديسمبر من عام eS ٠٠٠١‏ على ديفيد ين لي (David Yen Lee)‏ بالسجن لمدة ١0‏ شهراً كما 
أمر بدفع أكثر من ٠٠١‏ ألف دولار تعويضاً لشركة (Valspar)‏ وهي شركة لصناعة الدهانات والطلاءات 
الصناعية. كان ديفيد ين لي المدير الفني السابق لتطوير المنتجات الجديدة لمجموعة (Valspar)‏ 


اطمعمارية» وقدم استقالته من الشركة بعد عودته من رحلة إلى الصين. وعندما قام موظفو شركة 
(Valspar)‏ بفحص الحاسب الآلي المحمول وجهاز البلاك بيري التابعة للشركة والتي أعادها (لي) بعد 
استقالته» لاحظ الموظفون DET‏ لأنشطة تشير إلى أن (Y)‏ كان يحاول تغطية تحركات استخدامه لجهاز 
الحاسب SI‏ المحمول. وكشف الفحص الدقيق لتلك الأجهزة إلى أن الأسرار التجارية لشركة (Valspar)‏ 
قد تم تحميلها على جهاز الحاسب المحمول. 





abs‏ التدخل الحكومي على نطاق واسع ولا يقتصر على الهجمات ضد الولايات المتحدة 
حيث تشارك الحكومة الأمريكية أيضا في الحرب الإلكترونية. وتدعي صحيفة نيويورك 
تاز" أن الرئيس أوباما أمر سرا بزيادة الهجمات الإلكترونية ضد البنية التحتية الحاسوبية 
للمنشآت النووية الإيرانية وذلك بعد أسابيع من توليه منصبه. كما يزعم التقرير نفسه 
أن الولايات المتحدة وإسرائيل شاركتا في نشر دودة ستكسنت (Stuxnet)‏ والتي أدت إلى 
الإيقاف المؤقت ل (XY)‏ من أجهزة الطرد المركزي العاملة في المنشآت الإيرانية. 


(7) http://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks- 


against-iran.html 
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خطة (X)‏ لوكالة دفاع مشاريع البحوث المتقدمة 

في عام تأسست وكالة دفاع مشاريع البحوث المتقدمة Defense Advanced Research)‏ 
mu, (Projects Agency‏ عنصر المباغتة الإستراتيجي من التأثير سلبا في الأمن القومي YS‏ ولخلق 
مفاجآت استراتيجية لخصوم الولايات المتحدة من خلال الحفاظ على التفوق العسكري التقني للولايات 
المتحدة. وف الآونة الأخيرة. أصدرت وكالة دفاع مشاريع البحوث المتقدمة معلومات عن بدء «خطة 
إكس» (Plan X)‏ ووفقاً للوكالة فإنها تسعى لبحوث مبتكرة في أربعة مجالات رئيسية لدعم خطة 
إكس. وقد يرغب الكثير منكم في اتباع هذه التوجيهات ما لها من تأثير في خطط التوظيف في العديد 
من المؤسسات العسكرية والمؤسسات التابعة لوزارة الدفاع: 

فهم معارك الإنترنت: ويركز هذا المجال على تطوير تقنيات التحليل JYI‏ لممساعدة المشغل البشري 
في التخطيط للعمليات الإلكترونية. وعلى وجه التحديد يهتم هذا المجال بتحليل خصائص المخطط 
المنطقي لشبكات النطاق الواسع المتعلقة بنقاط التوصيل (على سبيل JELI‏ عدد الطرفيات» والروابط 
النشطة في مقابل الروابط الثابتةء والاستخدام) والطرفيات (مثل زمن الوصولء وعرض النطاق التردديء 
وتوالي الدورات). 


بناء عمليات إلكترونية هكن التحقق منها وقابلة للقياس تلقائيا: ويركز هذا المجال على تطوير خطط 
ذات مهام واضحة على مستوى الإدارة العلياء كما يركز على الادخال الآلي لرسالة النص البرمجي والتي 
يمكن تنفيذها من خلال واجهة نموذج التفاعل البشري بشكل مشابه لوظيفة الطيار الآلي في الطائرات 
الحديثة. وهذه العملية ستزيد من فعالية الطرق الرسمية لتحديد خسائر المعركة المحتملة من كل 
خطة رسالية تم إدخالها. 


ويركز هذا المجال على بناء «وحدات معركة» صلبة yS‏ أداء وظائف الحرب الإلكترونية مثل رصد 
أضرار المعركة. وتناوب الاتصالات» ونشر الأسلحة والدفاع التكيفي. 


تصور المعارك الإلكترونية ذات النطاق الواسع والتفاعل معها: ويركز هذا ا مجال على تطوير وجهات 
نظر بديهية وخبرة عامة للمستخدم. وتعمل وجهات النظر ال منسقة للمعارك بتوفير وظائف الحرب 
الإلكترونية مثل التخطيط والتشغيل والوعي الموقفي والمناورات العسكرية. 
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الجرائم الإلكترونية: 

في أواخر التسعينيات عندما كانت الإنترنت التجارية في مهدهاء كان قراصنة الحاسب 
الآلي في المقام الأول ك Jabi»‏ البرامج النصية». وهم أشخاص في سن المراهقةء ووجدوا 
برنامجاً Lea‏ في مكان ما وقرروا تشويه صفحة على الإنترنت فقط لإظهار أن قراصنة 
الحاسب الآلي قادرون على تعديل بيانات شبكة الإنترنت. وقد دمرت العديد من هذه 
البرامج النصية بيانات الأجهزة المصابة بشكل Y‏ مسؤول وذلك لإثبات هذا المفهوم فقط. 

وبعد فترة من العمل المتواصل أصبح طفل البرامج النصية ذكياً. BLL‏ تقوم بتدمير 
الأجهزة بينما مكنك كسب امال من مستخدم هذا الجهاز؟ ISU‏ تقوم باستبدال صفحة 
الشبكة في حين يمكنك الجلوس ف المنزل ومراقبة كل الأنشطة حتى ترى شيئاً يعجبك؟ 
والآن ندخل إلى ما يُسمى بالجرائم الإلكترونية. إن الجرائم الإلكترونية تجارة مربحة بشكل 
لايصدق» فيها أرباح عالية مع انخفاض احتمال التعرف على الهوية ومن ثم المحاكمة 
مقارنة بالجرائم التقليدية مثل عمليات السطو على البنوك. 


ويعد «الغش الإلكتروني النيجيري» (Nigerian Scam)‏ أحد أشهر وسطاء التهديد 
للجرائم الإلكترونية. ويعرف الغش الإلكتروني النيجيري ب )419 (Nigerian Scam‏ وذلك 
إشارة إلى مادة في القانون الجنائي النيجري للتعامل مع الغش. وفيما يلي مثال على بريد 
إلكتروني للغش النيجري. 


أمن المعلومات وإدارة مخاطر تقنية المعلومات Yvo‏ 


الفصل السادس 


لاغوسء نيجيريا. 

عناية: الرئيس / ال مدير التنفيذي 

سيدى العزيزء 

عرض عمل سري 

بعد التشاور مع «AX‏ واستناداً إلى المعلومات التي تم جمعها من غرف التجارة والصناعة النيجيريةء أفيدكم بأنه 
لدي صلاحية طلب مساعدتكم لنقل مبلغ £O sess‏ $ (سبعة وأربعون مليون وخمس dis‏ ألف دولار 
أمريي) إلى الحسابات البنكية الخاصة بك. المبلغ المذكور نتج عن عقد وعن عمولة منفذة دفعت على مدار خمس 
سنوات من قبل مقاول أجنبي. وكان هذا العمل متعمدا حيث JB‏ المبلغ من ذلك الحين في حساب بنك مُعلق في 
البنك المركزي النجيري (APEX BANK)‏ 

نحن الآن على استعداد لتحويل الأموال إلى الخارج وهنا db‏ دورك. ومن المهم أن أحيطكم علما بأننا ممنوعون من 


فتح حسابات أجنبية LÙ‏ موظفون مدنيونء ولهذا السبب نحتاج مساعدتك. وسيتم تقاسم lll‏ الإجمالي على 
النحو التالي: ۷٠‏ لناء ٠١‏ لك و0* لتكاليف حوادث التحويل المحلي والدولي. 


وهذا التحويل خال من المخاطر على كلا الجانبين. أنا محاسب لدى مؤسسة النفط الوطنية النيجيرية Nigerian)‏ 
(National Petroleum Corporation‏ . إذا وجدت هذا العرض مقبولاء نحتاج منك إلى الوثائق التالية: 

اسم المصرف» رقم الهاتف» ورقم الحساب» ورقم الفاكس. 

أرقام الهاتف والفاكس الخاصة بك - للسرية ولسهولة التواصل. 

رسالة منك مختومة وموقعة. 


Suus‏ من لذلك سنقوم بتزويدك بنص الرسالة ا مطلوب تحريرها بالإضافة إلى معلومات تفصيلية بخصوص ال مطلوب 
منك. وهذا العمل سيستغرق 5936 (V)‏ يوما لإنجازه. 


الرجاء الرد بسرعة. 





الآلاف من الرسائل يجري إرسالها في وقت واحد. وحتما فإن المحتالين سيحصلون على 
بعض الردود. 


في نيجيريا خصصت مقاهي الإنترنت عدداً من أنظمتها إلى الأفراد الذين يعتزمون المشاركة في الأنشطة الاحتيالية. 


ويعرف هؤلاء المستخدمون بأولاد ياهو (Yahoo Boys)‏ وذلك لقيامهم بإنشاء حسابات ياهو زائفة لاستخدامها 
في مخططاتهم. 





وتستمر جه ود الحكومة gih‏ الجرائم امالية الإلكترونية حيث يتم في نيجيريا لصق 
إعلانات على جدران مقاهي الإنترنت» وذلك لتحذير المستخدمين من الاعتقالات الممكنة 


۷1 أمن المعلومات وإدارة مخاطر تقنية المعلومات 


التهديدات والثغرات الأمنية 


للمحتالين الذين يرسلون رسائل البريد الإلكتروني الاحتيالية. ولكن بشكل عام تعلم 
الممستخدمون الإنصات للقول المأثور «إذا كان شيء ما غير معقولء فربما يكون كذلك». 


تعريف الجرائم الإلكترونية في الفلبين 


أدى قانون الجرائم الإلكترونية الجديد في الفلبين. والذي قد يؤدي بالحكم بالسجن لمدة تصل إلى ۲ di dale‏ 
غضب المواطنين والجماعات الحقوقية. والهدف المعلن للقانون واسع النطاق هو معالجة العدد الكبير من 

جرائم الإنترنت. ها في ذلك امواد الإباحية. والقرصنة. وسرقة الهويةء والبريد الإلكتروني غير المرغوب فيه. وجاء 
هذا القانون ردا من الشخصيات السياسية على الشرطة التي كانت تشكو من عدم وجود امواد القانونية اللازمة 
متابعة الشكاوى. 


والمشكلة أن هذا القانون الجديد يتضمن Lad‏ حكماً بوضع قانون التشهير led!‏ في البلاد حيز التنفيذ. إن 
an‏ ال ا E‏ ا oues‏ 
عقوبة قصوى تصل إلى السجن W‏ عاما وغرامة ٠٤٠,٠٠١‏ دولار أمريي. ومقارنة التشهير الإلكتروني بالتشهير في 
وسائل الإعلام فإن الغرامة تصل إلى نصف هذا المبلغ ومدة السجن تصل إلى € سنوات. 


وهذا ليس LU ds:‏ إن قانون الجرائم الإلكترونية سيسمح لوكالات إنفاذ القانون à‏ الفلبين لجمع بيانات ومراقبة 
جميع الاتصالات الإلكترونية دون الحاجة لأمر قضائي. 





المجموعات المنظمة: 


تتطلب بعض التهديدات أن يتعاون العديد من الوسطاء بعضهم مع بعض؛ لأن تنظيم 
بعض المجموعات للجرائم الإلكترونية أمر ملفت للنظر. على سبيل JULI‏ هناك مواقع 
(cadi‏ لبيع وشراء ا معلومات ALI‏ .84 مثل بطاقات oM‏ وأرقام الضمان الاجتماعي» 
ومعلومات الحسابات البنكية, > وغير ذلك. وعادة ما تقوم تلك المواقع الإلكترونية بتوظيف 
عدد كبير من الأفراد بحيث يكون لكل فرد واجباته الوظيفية الخاصة. 


٠‏ المديرون: تشغيل حسابات الضمان ومراقبة العضوية. 
٠‏ الوسطاء الدوليون: الإشراف على المحتوى وتحكيم النزاعات. 

٠‏ اطراجعون: تقييم جودة منتجات اموردين. 

٠‏ الموردون: لديهم صلاحية بيع السلع والخدمات على أعضاء المنتدى. 
٠‏ الأعضاء (المحتالون): شراء السلع. 


أمن المعلومات وإدارة مخاطر تقنية المعلومات yvy‏ 


الفصل السادس 


ومن أجل أن تصبح مورداً عليك أن تقدم مجموعة من أرقام البطاقات الائتمانية إلى أحد 
ا مراجعين. ويقوم المراجع بعمليات شرائية باستخدام تلك الأرقام. وإذا كانت البطاقات 
الائتمانية سارية المفعول فإنه يتم قبولك بصفة مورد (الشكل 0-1( وفيما يلي مثال على 
تقييم أحد الموردين. 

نتائج المراجعة: ال مخازن الموقتة ل (زومر). خلال YE‏ ساعة حصلت على مجموعة من 
وا dis da labe‏ كل مرقوفة- ]5 وعد راس فيال ادغات ا 2ة 
إذا تم إخباره بذلك خلال £A‏ ساعة. كما قمت باختبار الشراء من متاجر الإنترنت على gl‏ 
بطاقات....ثلاث منها مقبولة 0٠١‏ جنيه استرلیني» و ٠٠٠١‏ جنيه استرليني c‏ و١٠1١‏ جنيه 
استرليني» بطاقة الائتمان الأمريكية رفضت المنتج: ٠١/9‏ الخدمة .٠١/۹,0‏ 

وأحد الأمثلة على ذلك موقع كاردبلانت (CarderPlanet)‏ وتعد كاردبلانت منظمة 
إجرامية تأسست في عام ٠٠١١‏ والتي تقوم بتشغيل وصيانة موقع (www.carderplanet.com)‏ 
من أجل أنشصطتها الإجرامية. وبحلول شهر أغسطس من عام ٠٠١6‏ جذب الموقع JS]‏ من 
٠‏ عضو. وعلى الرغم من أن معظم المشاركات في المنتدى كانت باللغة d us JI‏ وأن 
معظم أعضاء كاردبلانت من أوروبا الشرقية وروسياء إلا أن جزءاً كبيراً من المنتدى يتحدث 
باللغة الإنجليزية". 

وتم إنشاء المنظمة بطريقة مماثلة للمنظمات الاجرامية بأعضاء ذوي رتب عاليةء أو 
«العائلة» بأسماء مثل العرزاب (Godfather)‏ أو (رئيس جميع الرؤساء) (capo di capi)‏ 
وتم إغلاق هذه المنظمة في عام ۲٠١١‏ بعد اعتقال بعض كبار أعضائها. ووفقاً لجهاز الخدمة 
السرية الأمريكي فإن «الشبكة المكونة من مؤسسي كاردبلانت...لا تزال واحدة من المنظمات 
الأكثر تعقيداً في العالم وذلك فيما يتعلق بالجرائم المالية من خلال الإنترنت. وتم ربط هذه 


(F-Secure) كما نشر موقع كاردبلانت إعلانات تفصيلية: ويمكن الاطلاع على نسخة من تلك الإعلانات في موقع‎ (A) 
e https://www.f-secure.com/weblog/archives/planet.swf 
e https://www.f-secure.com/weblog/archives/carderplanet.swf 


e https//www.f-secure.com/weblog/archives/555.swf 


YVA‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 














التهديدات والثغرات الأمنية 


القسبكة مرارا وتكراراً تقرها مكل dna] CoL Las]‏ :ذات الغلاقة باخجراق cales]‏ اخثالية 
والتي تم الإبلاغ عنها إلى مجتمع إنفاذ القانون الدولي»”". 


المنافسون: 

يهتم المنافسون Ulo‏ بتحقيق الميزة التنافسية. وهذا صحيح ليس في القطاع الخاص 
فحسب ولكن أيضاً في السياسة. ففي عام Y SY‏ تم توزيع مذكرات داخلية من قادة 
الأقلية الدهقراطية إلى وسائل الإعلام الصديقة للحزب الجمهوري. «في البداية رفضت 
الغالبية الجمهورية أي تواطؤ للحزب الجمهوري بعد تسريب المذكرات ونشرها. Cubs‏ 
الوثائق كيف هكن لأعضاء مجلس الشيوخ الدهقراطيين وضع إستراتيجية لاستشارة جماعات 
المصالح الخارجية المخصصة لمعارضة بعض المرشحين القضائيين المحافظين التابعين للرئيس 
بوش. ولكن بعد أن انتقلت الشرطة في الأسبوع «sal‏ ناقض السيناتور أورين هاتش 
(Orrin Hatch)‏ 44425« وهو الجمهوري عن ولاية يوتا والذي يرأس اللجنة القضائيةء حينما 
أعلن أنه صُدم عندما عرف أن من eB‏ باختراق الملفات الحاسوبية التابع للأقلية عضواً من 
موظفیه» '. 


العملاء: 


ويمكن للعملاء بسهولة أن يكونوا وسطاء سواء داخليين أو خارجيين اعتمادا على رسم 
ا منظمة لحدود الخدمة. مستخدمي نظام معلومات الطالب» على سبيل «JÉLI‏ هم من 
الطلاب وكذلك الإداريين في الوحدات المختلفة من نظام معلومات الطالب مثل: المساعدات 
الماليةء والحسابات الدائنة» وغيرها. ويعرف هؤلاء المستخدمون عادة ب «المستخدم 
الوظيفي». وكعملاء يحتاج هؤلاء المستخدمون في أوقات معينة لوظائف وامتيازات تمكنهم 
من أداء أعمالهم بطريقة أسهل V]‏ أن ذلك قد يضع الجامعة في خطر. على سبيل JÈL‏ 
شخص من إدارة المساعدات المالية لديه إمكانية الوصول إلى أرقام الضمان الاجتماعي 
الخاصة بالطلابء لذا قد deg‏ هذا الشخص إلى بيع dl‏ من تلك الأرقام في سوق القراصنة. 


(9) https://archives.fbi.gov/archives/atlanta/press-releases/2010/at081110.htm 


(10)http://www.nytimes.com/2003/12/05/opinion/partisan-hacking-in-congress.html 
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الفصل السادس 


العوامل الطبيعية وفشل البنية التحتية: 


في الولايات المتحدة الأمريكية لدينا حرائق برية وزلازل في الغرب» وأعاصير في الغرب 
الأوسطء وفيضانات وأعاصير على الساحل الشرقي على امتداد ولايات الخليج. وعملياً Y‏ 
يوجد منطقة في البلاد آمنة .)”٠٠١(‏ وبالإضافة إلى ذلك التدخل البشري: تسرب الأنابيب» 
وحرائق QUU‏ المفاجئة. وغيرها. وكل هذه كوارث طبيعية خارجية يمكن أن تؤثر في البنية 
التحتية لتكنولوجيا الأعمال التجارية. وعندما تفشل البنية التحتية لتقنية ا معلومات فإن 
الضرر UI‏ قد يكون كبيراً. وهذا ما حدث مع شركة سيرز (Sears)‏ في عام ١1‏ «كلف 
فشل لمدة خمس ساعات في وقت الازدحام بعد عطلة الأعياد شركة سيرز ۱,0۸ مليون دولار 
من الأرباح وفقاً للدعوى القضائية. (بلغت مبيعات سيرز W,Y‏ مليار دولار خلال الربع 
الرابع لكنها خسرت EAI‏ مليون دولار). وعملت الخوادم على مولدات كهربائية لمدة A‏ أيام 
تم خلالها حرق وقود ديزل بتكلفة VAS‏ آلف دولار»7". 


الموظفون السابقون: 

هثل الموظف الساخط leg‏ خطيراً من الوسطاء لأنه في كثير من الأحيان يكون لديه 
فكرة عن الأعمال الداخلية للمنظمة, كما يكون الموظف الساخط قادرا على استخدام 
الثغرات ا معروفة لديه للوصول إلى النظام والإضرار بامنظمة. 

في شهر مايو من ele‏ ۲۰۱۳ تم كشف النقاب عن شكوى جنائية في يوم الخميس 
في محكمة اتحادية في المنطقة الشرقية لمدينة نيويورك تتضمن اتهام مايكل مينيسيس 
(Michael Meneses)‏ الذي اعتقل في وقت سابق من ذلك اليوم في مدينة سميثتاون 
بولاية لونغ GNT‏ بتهمة اختراق شبكة الحاسب الآلي لشركة تقوم بتصنيع إمدادات طاقة 
الجهد العالي» مما تسبب في خسارة للشركة بأكثر من ٠١‏ آلف دولار. «قام بتوظيف مختلف 
الأساليب التقنية المتقدمة لاختراق شبكة الشركة الضحية وسرقة بيانات الاعتماد الأمنية 
لزملائه السابقينء Le‏ في ذلك كتابة برنامج يستولي على بيانات تسجيل الدخول وكلمات 


(11)http://www.chicagobusiness.com/article/20130604/BLOGS$11/130609948/the-price-of-failure- 


data-center-power-outagecost-sears-2-2m-in-profit£ixzz2XAM39BK1 
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التهديدات والثغرات الأمنية 


السر. كما أنه استخدم بيانات الاعتماد الأمنية لزميل واحد سابق على الأقل وذلك للوصول 
إلى الشبكة عن بعد عبر شبكة افتراضية خاصة (virtual private network)‏ وقام بذلك من 
منزله ومن فندق يقع بالقرب من عمله الجديد. مما أدى إلى إفساد الشبكة»". 


الوسطاء الداخليون: 

الوسطاء الداخليون هم الأشخاص الذين لهم صلة بالمنظمة la Ulis‏ يكونون موظفين. 
ويشمل الوسطاء المتوقعون ما يلي: مسؤولي النظم» وموظفي مكتب الدعم الفني» ومطوري 
البرمجيات. لكن غيرهم من الأفراد غير المتوقعينء كموظفي النظافةء هكن أن يكونوا أيضا 


الشكل )1-7( الوسطاء الداخليون 


























مكتب الدعم الفنى :(Help Desk)‏ 
قد يتم تخصيص بعض الامتيازات لموظفي مكتب الدعم الفني» عن طريق الخطأ أو عن 
طريق سوء الاستخدام» مما قد يؤثر في عمليات المنظمة. وليس من غير المألوف السماح 
(12)www.net-security.org/secworld.php?id = 14861‏ 
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الفصل السادس 


لموظفي مكتب الدعم الفني بإمكانية تغيير كلمات المرور للمستخدمينء بعد التحقق من 
هوياتهم. وهذة الميزة قد تفتح الباب لرشوة وابتزاز الموظفين في حال عدم التحقق من 
تلك الأنشطة. 


الموارد البشرية: 

تعيين الموظفين وإنهاء خدماتهم في المنظمة. والذي يتم التعامل dzo‏ عادة من قبل 
إدارة الموارد البشرية» يستلزم بعضاً من الأنشطة التي يحتمل أن يكون من ضمنها تخصيص 
امتيازات جديدة أو سحبها من أنظمة تقنية المعلومات. ويعرف نشاط إضافة موظف 
جديد إلى النظام ب «onboarding)‏ في حين أن حذف الموظف من النظام يعرف ب 
.(offboarding)‏ وفي حال تنفيذ هذه الأنشطة أوتوماتيكيا فإن العواقب ستكون وخيمة. 


ففي عام ۲٠٠١‏ توجب على أحد البنوك المجتمعية الصغيرة في ولاية فلوريدا استرداد 
جميع الرسائل الإلكترونية للموظفين من الأشرطة الاحتياطيةء وذلك بعد حدوث خطأ في 
نظام الموارد البشرية أدى إلى فصل جميع الموظفين» كما أدى إلى إلغاء وصولهم إلى حسابات 
البريد الإلكتروني. 


خدمات النظافة: 


تعد غرف الخوادم ومراكز البيانات منطقة محظورة على أي شخص ليس هناك حاجة 
لوجوده في تلك الغرف. لكن ليس كل الخوادم يكون مكانها في غرف الخوادم. ففي البيئة 
الجامعية ليس من غير اممألوف أن تكون الخوادم في المكاتب المشتركة للموظفين دون وجود 
حماية مادية ودون وجود بديل لتلك الخوادم. 

ففي عام Boy ٠٠0‏ عامل نظافة في جامعة جنوب فلوريدا أن أحد المكاتب كان قذراً 
قليلاً فقرر أن ينظف الغرفة بالمكنسة الكهربائية. ولإيصال قابس المكنسة الكهربائية قام بفصل 
القابس الخاص بجهاز مصدر الطاقة غير المنقطعة (uninterruptible power supply) «UPS»‏ 
ولكنه b‏ يقم بتوصيله عندما انتهى من التنظيف. ونفذ جهاز مصدر الطاقة غير ال منقطعة 
من الطاقة مما أدى إلى انقطاع خدمة البريد الإلكتروني عن الجامعة إلى اليوم التالي عندما 
جاء مسؤول النظام إلى المكتب. 


YAY‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


التهديدات والثغرات الأمنية 


المدققون الداخليون: 

هناك أصناف مختلفة من المدققين. فبعض منهم مستعد للعمل مع اللمسؤولين لفهم 
الأولويات المختلفة. وتخصيص الموارد» وكيف أن عمليات تقنية المعلومات تتلاءم مع الرسالة 
العامة للمنظمة. البعض الآخر مهتم بالإشارة إلى الفشل ال ملحوظ في تقنية المعلومات. 
والبعض الثالث على استعداد تام مناقشة مخططات قاعدة البيانات وتوجيهات الشبكة, 
فضلا عن الوارد النقدي والمساعدات المالية. كما أن البعض في الصناعة ينظر إلى ا ممدققين 
بأنهم ماهرون وذوو خبرة «dale à‏ ويضرب به امثل بأنه متعدد امواهب واطهارات», لكن ليس 
بالضرورة أن يكون متخصصا في أي منها. 

إن الشغل الشاغل للمدققين هو الامتثال للوائح والأنظمة. ويجب أن تكون أنظمة 
تقنية المعلومات متوافقة مع القوانين المحلية وقوانين الولاية والقوانين الاتحادية. كما يجب 
أن تضمن اتباع جميع السياسات والإجراءات الرسمية ال معتمدة من قبل المنظمة. ومع أخذ 
ذلك في الاعتبارء من الضروري تأكيد أن الامتثال يختلف عن الأمن. وهذا الفرق الذي قد 
يحول المدقق في بعض الأحيان إلى وسيط تهديد. 

على سبيل JULI‏ افترض أن لدى منظمتك سياسة تنص على «تشفير جميع أرقام بطاقات 
BERT‏ للموظفن عند تغرنتها الكازؤنيا»: وافترض من أجل النقاش في هذا المثال أنه يتم 
تخزين أرقام بطاقات الهوية على خادم قاعدة البيانات بحيث يتم تشغيل هذا الخادم 
فقط عند الحاجة للبيانات. ويقع مكان هذا الخادم في منشأة يتم مراقبة الوصول إليهاء 
وأنت الشخص الوحيد الذي ملك الوصول إلى ذلك ك الخادم. قد يكون من وجهة نظرك أن 
خطر حدوث تسرب للبيانات أو فقدانها صغير SI duas‏ وكما سترى 2 الفصول القادمة, 
الامتثال التنظيمي والامتثال لقوانين الولاية والقوانين الاتحادية والتي تنيت بقصد حماية 
خصوصية اللمستخدمين تكون ذات هدف منفرد ولا تنظر إلى أمن eil‏ بأكمله بل تركز 
على الجزء الذي تحتاج إلى حمايته. ولذلك فإن أي مدقق داخليا كان el‏ حايص ا 
أن البيانات يجب تشفيرها أو يجب تعديل السياسة إذا كانت المنظمة تحتمل ال «uel‏ 
حتى إذا كانت المنظمة سوف تضطر إلى إنفاق آلاف الدولارات من أجل تشفير البيانات. 

وقد يؤثر المدققون أيضاً في عمليات تقنية المعلومات. ففي ولاية فلوريدا إذا كانت 
غرفة الخادم لا تتفق مع معايير lll‏ بسبب استخدام التوصيلات الكهربائية فإنه يحق 
لرجال الإطفاء قطع التيار b Jal‏ على الفور حتى لو تعطلت العمليات الهامة للمنظمة 
بسبب انقطاع التيار الكهربائي. 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات YAY‏ 


الفصل السادس 


الإدارة العليا: 


يمكن اعتبار المديرين وسطاء تهديد من خلال طرق متعددة. ولكن التهديد الأكثر هو 
عدم دعم الإدارة العليا لتقنية المعلومات بشكل عام وعدم فهم المخاوف الأمنية. إن أنظمة 
تقنية المعلومات موجودة في كل مكان في ا منظمات في الوقت الحاضرء لكن الناس لا تدرك 
التبعية التي تنشئها تلك النظم. ففي الجامعةء رواتب أعضاء هيئة التدريس» والتسجيلء 
وكشوف الدرجات» وال مساعدات المماليةء كلها تعتمد على حقيقة أن تتوفر أنظمة تقنية 
ا معلومات وتعمل بشكل صحيح. 


p‏ تقنية à p a aud‏ في عام «لا خبر يعد addu T‏ وبينما do‏ ذلك 
المستخدم ali‏ من FN‏ تبرير النفقات المرتبطة بشراء E‏ جديد Jj cats I3]‏ الخدمات 
ما زالت تقدم دون أي تأثير في الأداء. وعلى المدى الطويل يمكن أن يتسبب نجاح تقنية 
ا معلومات في فشل تلك التكنولوجياء إذا م يتم تذكير الإدارة باستمرار باعتمادية الأعمال 
على الخدمات التي توفرها تقنية المعلومات. 
جامعة جديدة: جامعة فلوريدا المتعددة الفنون (Florida Polytechnic)‏ 

à‏ عام 1۲ وافق مسؤولو ولاية فلوريدا على إنشاء جامعة معتمدة من الولاية اسمها جامعة فلوريدا 

امتعددة الفنون (Florida Polytechnic)‏ أو .(FPU)‏ وكانت هذه الجامعة سابقاً ls:‏ من نظام جامعة 

جنوب فلوريدا. وقد سبب هذا القرار من قبل حكومة الولاية لإنشاء هذا الكيان الجديد في ظهور تحديات 

تقنية المعلومات. E mS liag‏ لقرارات الإدارة العليا التي تؤسس لمشكلات تنتقل آثارها السلبية 

الممكنة إلى الأمن العام للمنظمة. 


يجب مراجعة جميع رخص البرمجيات لأن أجهزة الحاسب الآلي والخوادم تعود ملكيتها الآن للجامعة 
الجديدة وليس لجامعة جنوب فلوريدا. وقد يؤدي عدم القيام بذلك إلى قضايا قانونية خطيرة. 


يجب إعادة تخصيص موظفي تقنية المعلومات لتقديم الدعم ونقل المحتوى من خوادم جامعة جنوب 
فلوريدا إلى الخوادم الأخرى المملوكة لجماعة فلوريدا المتعددة الفنون» مما يؤدي إلى ترك بعض المناطق 
بدعم محدود. 

وبينما يُنقل بعض الموظفين إلى النظام الجديد فإن العديد من الموظفين يفصلون. وهذا يخلق السيناريو 
المثالي والمحتمل لموظف ساخط ليصبح وسيط تهديد بارتكاب الغش. 





YAE‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


التهديدات والثغرات الأمنية 


الشركاء: 

ويشمل أي طرف ثالث يتقاسم علاقة العمل مع المنظمة. liag‏ يشمل الموردين والبائعين 
ومقدمي الاستضافة» ومقدمي الدعم التقني الخارجيين» وغيرهم. وعادة ما تنطوي العلاقة 
بين شركاء العمل على مستوى معين من الثقة والامتيازات (الشكل 1-/1). 


الشكل (5-/01): الشركاء 


الشركاء 


الخدمات 
الاستشارية 


والمقاولون 


كسك لحري 
FERRI‏ 














الموردون 


الخدمات الاستشارية والمقاولون: 

Lad dex odds ds‏ خدمات التركيت: odas. Dhal‏ خدهات مدفوعة من قبل 
المنظمة من أجل أداء وظيفة معينة أو لزيادة الموظفين المحليين. 

وتبذل المنظمات الاستشارية قصارى جهدها للامتثال لأي متطلبات خاصة لعملائها. لكن 
العملاء من ذوي الاحتياجات الخاصة قد يُصدمون إذا كان تدقيق التفاصيل مهماً للغاية 
بالنسبة لهم. تأمل في قضية التسرب الأمنية التي حدثت مؤخراً في وكالة الأمن القومي 
(National Security Agency)‏ والتي تورط فيها إدوارد سنودن Edward Snowden)‏ 
كان السيد سنودن موظفاً à‏ شركة بوز al‏ هاملتون «(Booz-Allen Hamilton)‏ وهي 
الشركة التي قدمت الكثير من العمل التقني لوكالة الأمن القومي وغيرها من الوكالات 
الفيدرالية الحساسة. 

ففي الفترة الزمنية من O‏ يونيو إلى "١‏ يونيو من عام 27١17‏ كشفت صحيفة الجارديان 
(Guardian)‏ أوامر سرية للغاية بالسماح لوكالة الأمن القومي بجمع معلومات عن 


أمن المعلومات وإدارة مخاطر تقنية المعلومات YAO‏ 











الفصل السادس 


المواطنين الأمريكيين. وفوجئ مشرعو القانون والجمهور بكشف صحيفة الجارديان عن 
هذا الخبر. 

ids‏ او عزوو ال بط da cud eso‏ ودن decas aab Eu MEG‏ تلك 
الأنشطة: وبين وصفه بخائن لكشفه عن الإجراءات الأمنية التي حافظت على أمن أمريكا. 
وفي وقت LLS‏ هذه السطورء م يعرف مصير السيد سنودن بعد حيث تعمل الحكومة 
الأمريكية على جلبه إلى الولايات المتحدة الأمريكية لمحاكمته (الشكل (A-7‏ 


لكن من وجهة نظر أمن المعلومات, أدت هذه الحادثة إلى الاهتمام بالعديد من الأمور. 
فنظرا لطبيعة ا منظمة فإنه من المستحيل تأكيد كيف قام السيد سنودن بإخراج البيانات 
من الشركة حتى تم الكشف عن ذلك في جلسة المحاكمة. ومن خلال الشهادة الفيدرالية, 
وبقية الطرق الرسمية الأخرى. لكن كان هناك تخمين بأن السيد سنودن قد استخدم قرص 
الناقل التسلسلي العاممي (USB thumb drive)‏ لحفظ بياناته. لكن المنظمات الحساسة 
تقوم dole‏ بتعطيل هذه ال منافذ على أجهزة الحاسب الآلي ممنع هذا التسرب. لذا تفاجاً 
العديد من الخبراء بإمكانية هذه الاحتمال في وكالة الأمن القومي. وجدير بالملاحظة أيضا 
كيف أن موظفاً يتبع لشريك (مقاول) قد تمكن من الوصول إلى تلك الوثائق الحساسة. 


في بداية عام كانت شركة (Sun Microsystems)‏ مسؤولة عن تركيب العديد من أنظمة الأداء 


العالي في جامعة جنوب فلوريدا. ومن أجل تسهيل عملهم قام مهندسو الصيانة من شركة Sun)‏ 
95 بتجهيز جميع الصناديقء ها في ذلك تجهيز صناديق المنظمات الأخرىء بنفس بيانات 
تسجيل الدخول وكلمات المرور. ومما يُضيف إلى الخلل الأمني هذا أن كلمة المرور كانت مستندة إلى 
قاموس الكلمات. 





خدمات الحوسبة السحابية: 

فول لهاك الخز س ة العامة ف asus‏ هد مخ لخد مات ودد إذارة aao ba‏ 
المعلومات (NIST)‏ خمس خصائص أساسية للحوسبة السحابية: الخدمة الذاتية elo‏ 
على الطلب» والوصول إلى الشبكة ذات النطاق الواسع» وتجميع اممواردء والمرونة السريعة أو 


(13) http://csrc.nist.gov/publications/PubsSPs.html£800-145 


۸٦‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 





التهديدات والثغرات الأمنية 


ull] densus cag‏ كما ذكرت La]‏ كلالة هن راذع الخدهة» [الرمجيات: والمصة 
والبنية التحتية)ء وأربعة من «نماذج النشر» (الخاصء وا مجتمع. والعام, والهجين) والتي 
تقو جميعها بتصنيف طرق تقديم الخدمات السحابية. 


الشكل (6-5): إدوارد سنودن (Edward Snowden)‏ 





وجميع تلك الخدمات كانت في وقت من الأوقات مرتبطة مصطلح (Outsourcing)‏ 
والذي يعني (التعاقد الخارجي). ونظراً لارتباط مصطلح (Outsourcing)‏ بفقد بعض 
الأشخاص لوظائفهم» أعادت الصناعة تصميم نفسها كما أعادت تصنيف الخدمات تحت 
فسمى «خدمات الحوسية السحابية» 

فعندما تتجه ا منظمات لنقل بعض خدماتها للسحابة الإلكترونية فسيكون هناك فرضية 
لتطوير وجود بديل للأجهزة المستخدمةء وكذلك تطوير الموثوقية مع عدة خوادم تستضيف 
تطبيقات بميزة الانتقال GALII‏ في مواقع جغرافية متعددة. وفي حين أن هذا هو الحال 
في معظم الحالات إلا أنه لا يكون كذلك دانماء لكن يجب على منظمات الأعمال ألا تفترض 
تلك الفرضية. عندما تنتقل بعض الخدمات إلى السحابة الإلكترونيةء LY‏ من التحقق من 
بعض الأمور: 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات YAV‏ 


الفصل السادس 


o‏ هل لدى مراكز البيانات الشهادات الأمنية المطلوبة؟ 

٠‏ ماالمواقع الجغرافية للمركز؟ 

٠‏ ما الضوابط التي تم وضعها لحماية البيانات؟ 

ومن الأهمية هكان أيضا أن يكون هناك من البداية إسعاتيجية للخروج “فلآ بذ من 
تأسيس الطرق التي من خلالها هكن نقل البيانات إلى موقع آخر في حالات الطوارئء 
فالفشل في أي من هذه النقاط يمكن أن يحول مزود الخدمة الخارجي من شريك إلى وسيط 


تهديد. 


أمثلة على بعض قضايا مزودي خدمات الحوسبة السحابية 
شركة :(Dropbox)‏ 


في شهر يوليو من عام ۲١٠١‏ قامت شركة تخزين البيانات السحابية (Dropbox)‏ بتغييرات جذرية على اتفاقيات 
التراخيص والشروط نتيجة لمشكلة سابقة اشتملت على خلل برمجيات في نظام التوثيق. «من خلال إرسالك الملفات 
إلى الخدمات فإنك تمنحناء وتمنح الجهات العامية التي تعمل معها لتقديم الخدمات» الحق في استخدام وتوزيع 
ونسخ وأعداد أعمال مشتقة (مثل الترجمة وتغييرات في التصميم) وعرض الملفات علانية بالقدر اللازم للخدمة 
ويكون ذلك الحق غير حصري ودون رسوم وقابلاً للترخيص لطرف ثالث». لكن شركة (Dropbox)‏ غيرت موقفها 
بسرعة بعد أن بدأ العملاء برفض الاتفاقية وسحب بياناتهم من الشركة. 


:(Salesforce.com) شركة‎ 


وهذه الشركة معروفة ببرمجيات إدارة علاقات العملاء (Customer Relation Management)‏ وهي معروفة 
أيضا بعروض الخدمات السحابية: مبيعات السحابة (Sales Cloud)‏ لإدارة المبيعات. خدمات السحابة Service)‏ 
ag (Cloud‏ خدمة مقدمة مراكز الاتصال. 


للاستفادة من هيكلة تسمى بهيكلة (DR)‏ من أجل الحفاظ على خدماتها. 


وفي شهر يوليو من عام WW‏ حدث انقطاع وجيز لمدة دقيقة واحدة في التيار الكهربائي في أحد مواقع مراكز 
البيانات ف كاليفورنيا التابع لشركة (Equinox)‏ مما أدى إلى سلسلة من المشكلات أدت في نهاية مطاف إلى التعطل 
الكامل لشبكة (Salesforce)‏ ما يقارب من 1 ساعات. 





تعد الاستعانة مصدر خارجي لتهيئة البنية التحتية لغرفة الخادم أمراً شائعاً حيث 
يساعد ذلك على التخلص من المخاوف الطبيعية ويسمح للمنظمة بالتركيز على الجزء 


YM‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


التهديدات والثغرات الأمنية 


لهم من أعمالها. Mag‏ يتطبق بشتكل خاص de‏ مدونات المواقع d Ll‏ وبخض وسائل 
الإعلام. 

ففي شهر أكتوبر من عام 7١17‏ ضرب إعصار ساندي الساحل الشرقي القريب من 
مدينة أتلانتيك. استيقظ القرّاء في اليوم التالي بخيبة أمل لأن بعض المواقع الإخبارية 
امفضلة لديهم تعطلت عن العمل Ue‏ في ذلك (Gawker) (The Huffington Post)‏ 
حيث كانت المنصة الرئيسية لمزود خدمة الإنترنت لهذه المواقع تابعة ل .(Datagram)‏ 
لقد غمرت مياه الفيضان مراكز البيانات التابعة ل (Datagram)‏ وتعطلت خطوط الطاقة 
التي تغذي اممولدات» مما أدى إلى تعطل مركز البيانات بالكامل (الشكل 3-5). 


الشكل )3-3(: تعطل مزود خدمة الإنترنت (Datagram)‏ بسبب إعصار ساندي 


Gawker Follow 


We're continuing to work on our servers and 
will be back online as soon as is possible. We 
miss you already. Stay dry. 


الموردون والبائعون: 

عندما لا يتمكن الباعة أو ال موردون من توريد الموارد المطلوبة» أو مراقبة مستوى جودة 
الأجهزة: أو تقييم علاقاتها التجارية بشكل صحيح فإن التأثير على نطاق العمل قد يكون 
TE‏ 


في شهر مايو من عام ۲۰۱۲ فازت شركة نوكيا (Nokia)‏ بأمر Las‏ ضد شركة إتش g‏ س (HTC)‏ في هولندا وذلك 


فيما يختص ببيع هاتف أندرويد يُسمى (HTC One)‏ ويظهر أن (HTC)‏ استخدمت میکروفونا في هاتف HTC)‏ 
joha (One‏ من شركة (STMicroelectronics)‏ لکن على ما يبدو أن شركة نوكيا لديها حقوق حصرية لاستخدام 
هذا الميكروفون في أجهزتها. 
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الفصل السادس 


نشاط التهديد: 


الوسيط هو الجزء الأول من التهديد. لكن لن يكون هناك أي تهديد حتى يقوم الوسيط 
ببعض الأنشطة للإضرار بأحد الأصول. النشاط هو العمل الذي يقوم به الوسيط للتأثير في 
خصوصية الأصل أو تكامله أو جاهزيته. إن عملية إنشاء قائمة من الأنشطة غير مجد لأن 
dla aul‏ التهديدآت الجديدة تكون محدودة فقط هدى dehy‏ الوسطاء. ومع ذلك يمكن 
تصنيف أنشطة التهديدات الشائعة في الفئات التالية: 


(Malware) البرمجيات الخبيثة‎ o 
(Hackers) JI قراصنة الحاسب‎ ٠ 

(Social engineering) الهندسة الاجتماعية‎ o 
(Physical) مادي‎ ° 

(Error) الأخطاء‎ ٠ 


(Environment) البيئة‎ ٠ 


البرمجيات الخبيثة :(Malware)‏ 


مصطلح (Malware)‏ اختصار ل (malicious software)‏ والتي تعني البرمجيات 
الخبيثة. وهي البرمجيات التي صُممت خصيصا للتدمير والتعطيل ib alls‏ أو بشكل 
عام إحداث أنشطة سيئة أو غير شرعية على أجهزة الحاسب JYI‏ الفيروسات والدودة 
الحاسوبية وأحصنة طروادة والروبوتات الشبكية كلها أمثلة على البرمجيات الخبيثة. 

وقد ازداد عدد البرمجيات الخبيثة بشكل كبير حيث ارتفع عددها من ١١٠٠١‏ في عام 
۰ إلى ٥۰‏ آلف في عام ٠٠٠١‏ وصولا لأكثر من ٠٠١‏ مليون في عام .7١٠١‏ 


الفيروسات: 
تنتشر الفيروسات بواسطة ملف «مضيف» يتطلب تفاعل بشري لتنشيطه. وقد يكون 
الملف المصاب موجودا في القرص الصلب لجهاز الحاسب «ISI‏ لكن الجهاز لن يكون مصابا 


yq.‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


التهديدات والثغرات الأمنية 


حتى يتم تشغيل الملف. وينتشر الفيروس عندما يقوم شخص ما بإرسال ذلك ا ملف المصاب 
إلى جهاز جديد. وبُشغل ذلك الملف على المضيف الجديد. 

ds‏ عام ۱۹۷۱ أنشئ آول جزء برمجي بعد فيروساً من قبل موظف في شركة تُدعى 
(BBN)‏ والتي تسمى الآن .)Raytheon BBN)‏ وتقوم شركة (BBN)‏ ببناء تبديل حزم 
الشبكات (ARPANET) J (packet switching networks)‏ والتي تعد باكورة الإنترنت. 
وتم تصميم برنامج يدعى (Creeper)‏ لإثبات مفهوم برمجيات التكرار الذاتي حيث يقوم 
بالقفز من خادم إلى خادم آخرء ويقوم بتنصيب نفسه» ثم يُزيل النسخة السابقة ويظهر 
الرسالة التالية على شاشة المضيف الجديد «أنا (Creeper)‏ اقبض علي إذا كنت تستطيع 
ذلك» .(I am Creeper, catch me if you can)‏ 

ویعد انتشار فيروس ميليسا (Melissa Virus)‏ أول انتشار لفيروسات JUS‏ من شبكات 
الشركات. وكان ميليسا مختلفا عن الفيروسات الأخرى بسبب السرغة التي انتشر بها Cua‏ 
كان يُخفي نفسه في رسالة بريد إلكتروني بعنوان «رسالة مهمة من <شخص تعرفه>». 
وكانت الرسالة الإلكترونية تحمل مستند مايكروس وفت وورد يحتوي على فايروس ماكرو 
(macro virus)‏ وهو الفيروس الذي يشغل نفسه تلقائياً عند فتح الملف. 


الأجهزة المصابة بفيروس ميليسا تعاني من الأعراض التالية: 
٠‏ إيقاف غير مبرر لتشغيل الجهاز مع رسالة خطأ ا موضحة في الشكل .)٠١-١(‏ 


o‏ عند فتح وثائق مايكروس فت وورد يقوم الجهاز ا مصاب بعرض مقتطفات من 
حلقات البرنامج التلفزيوني «عائلة سيمبسون». 


٠‏ يتم اختيار ملفات عشوائية تحتوي على الفيروس لإرسالها عبر البريد الإلكتروني إلى 
٠‏ من المستخدمين الموجودين في دفتر عناوين جهاز الحاسب الآلي. 
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الشكل :)٠١-5(‏ رسالة الخطأ من فيروس ميليسا 


xX 


This system is shutting down. Please save all 

e work in progress and log off. &ny unsaved 
changes will be lost. This shutdown was 
initiated by NT ALITHORITY*SYSTEM 


Time before shutdown: 00:00:45 


Message 


The system process 
'ESWINDDWS*system32*NIsass.exe' 
terminated unexpectedly with status code 
-1073741818. The system will now shut 
down and restart. 


وبالإضافة إلى المشكلات التي تركز على المستخدم النهائي» سبّب Lus xà‏ ميليسا مشكلات 
خطيرة في بنية البريد الإلكتروني التحتية للشركات بسبب الأحمال العالية للأجهزة المصابة 
والموجهة إلى خوادم البريد الإلكتروني. وتم القبض على مصمم هذا الفيروس وخكم عليه 
بالسجن مدة ٠١‏ شهرا وغرامة قدرها 0 آلاف دولار. 


الدودة الحاسوبية: 


بينما تعتمد الإصابة بالفيروسات وانتشارها على التدخل البشريء» تستخدم دودة 
الحاسب الآلي ثغرات نظام التشغيل أو التطبيقات للدخول عبر الشبكة واستغلال نقاط 
الضعف نفسه ال موجودة في الأجهزة الأخرى. ودودة موريس (Morris Worm)‏ هي 
الدودة الحاسوبية الأولى التي ظهرت في عام AM‏ وعلى الرغم من أن هذه الدودة تشبه 
فيروس (Creeper)‏ من حيث أن كليهما صمم لإثبات نظرية ماء لكن بسبب خطأ في كتابة 
التعليمات البرمجية أصبح للبرنامج فرصة ثابتة في التكاثر وإنتاج نسخ متعددة من البرنامج 
نفسه في الجهاز المصاب مما يؤدي إلى زيادة حمل الجهاز المضيف» às‏ نهاية المطاف يؤدي 
أحياناً إلى تعطل الجهاز المضيف. 
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وتعد دودة إس كيو إل سلامر (SQL Slammer worm)‏ والتي ظهرت في شهر يناير من 
عام Y Y‏ واحدة من الديدان الحاسوبية الأسرع انتشارا في «tl‏ وذلك لأنها استفادت 
من ثغرة تجاوز سعة المخزن المؤقت (buffer overflow)‏ الموجودة في خادم تعليمات 
الاستعلام البنيوية (Y+ ++ Microsoft SQL Server)‏ لتكرار نفسها. والعواقب الواضحة 
للإصابة بدودة سلامر في جميع أنحاء العام ما يلي: 

Bank) Spak JYI عندما انتشر هذا الفيروس كانت العديد من ماكينات الصرف‎ ٠ 

(of America‏ غير متوفرة. 
٠‏ قامت الخطوط الجوية (Continental Airlines)‏ بإلغاء وتأخير رحلاتها بسبب 
إصابة نظام التذاكر بهذه الدودة. 

ه تعطل نظام الطوارئ )911 (system‏ عن العمل في مدينة سياتل. 

والمشكلة هنا ليست الإصابة بالدودة نفسها بل السرعة المرعبة التي كانت تحاول 
الدودة أن تنشر نفسها. إن إصابة جهاز واحد تؤدي إلى إغراق الشبكة في غضون دقائق 
مما يؤدي وبشكل فعال إلى خلق هجوم رفض الخدمة (Denial of Service Attack)‏ 
باستخدام كل النطاق الترددي المتاح للشبكة. وتشير التقديرات إلى أنه تمت إصابة )-43( 
من الخوادم ذات الثغرات على الإنترنت في غضون ٠١‏ دقائق من إطلاق هذه الدودة. 
الروبوتات الشبكية :(Bots)‏ 

أحد أشهر الروبوتات الشبكية التي تم اكتشافها من قبل قطاع الأمن يعرف باسم 
.(ZeroAccess)‏ وتشير التقديرات في شهر سبتمبر من عام ۲ إلى أن البرمجيات الخبيثة 
المعروفة ب (ZeroAccess)‏ قد جرى تحمليها قرابة ٩‏ ملايين مرة. والروبوتات الشبكية هي 
البرمجيات ذات الاستخدام العام» وتكون مثل القشور الخارجية الفارغة» التي تتصل بخادم 
الأوامر والتحكم (Command and Control server)‏ من أجل إصدار أوامرهم. ويستخدم 
الروبوت الشبكي (ZeroAccess)‏ الشبكات المشابهة لشبكة النظراء (peer-to-peer)‏ لتنزيل 
الإضافات من خوادم الأوامر والتحكم .(Command and Control server)‏ وتقوم هذه 
الإضافات بتنفيذ المهام المصممة لتوليد الإيرادات لمشغلي الروبوتات. وتقوم بتنفيذ هذه 
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المهمة من خلال طريقتين أساسيتين: احتيال النقر (Click Fraud)‏ والتنقيب عن عملة 
الإنترنت بت كوين .(Bitcoin Mining)‏ 

ويحدث احتيال النقر (Click Fraud)‏ عند الارتباط بالأعمال التي تستخدم نموذج 
الإعلانات ال معروف بالدفع حسب عدد النقرات .(Pay Per Click)‏ وبشکل عام الدوافع 
تختلف. وعادة ما يتم توظيف قراصنة الحاسب الآلي في محاولة لتجفيف ميزانية الدعاية 
للمنافسين. والجناة الأكثر شيوعاً هم الناشرون الذين نجحوا في السابق في إدارة هذا النوع 
من AP JUI‏ 

ويمكن وصف عملة الإنترنت بت كوين (Bitcoin)‏ بأنها العملة الافتراضية الجديدة التي 
تحل محل النقود في شبكة الإنترنت. وبشكل مشابه للاحتياطي الاتحادي (البنك ا مركزي في 
الولايات المتحدة) (Federal Reserve)‏ المسؤول عن تنظيم العملة النقدية فإنه تم تفويض 
تنظيم عملة البت كوين (Bitcoin)‏ إلى شبكة النظراء (peer-to-peer)‏ والتي تتألف من 
أجهزة حاسب UI‏ تعمل على عميل البت كوينء أو ما يعرف ب (تنقيب البت كوين) 
.(Bitcoin Miner)‏ وعندما تقوم بتثبيت (عميل البت كوين) على جهازك فإن الجهاز 
يعمل بشكل أساسي كأنه بنك بت كوين (Bitcoin bank)‏ يقوم بإصدار العملة والتأكد من 
صحة المعاملات وغيرها. ويصبح الأفراد عادة جزءاً من مجموعة التنقيب (mining pool)‏ 
ويحصلون على تعويضات بت كوين (payout bitcoins)‏ كجزء من سدادهم للمدفوعات. 
ومن الواضح أن الروبوتات الشبكية مناسبة جداً لهذا النشاط. 


القرصنة: 

وفقاً لتقرير اختراق البيانات التابع لنموذج تصنيف الحوادث ۲۰٠۱ els) (VERIS)‏ فإن 
(ZAY)‏ من الخروقات في عام ۲١٠١‏ قد تضمنت نوعا من أعمال القرصنة. وبعض الأساليب 
المستخدمة للوصول إلى الأجهزة تتم من خلال البرمجيات الخبيثة. والفرق الأساسي بين 
اختراق القرصنة وبين الإصابة بالبرمجيات الخبيثة هو أن الإصابة بالبرمجيات الخبيثة تنتشر 
تلقائياً دون تدخل العنصر البشري. وعلى الرغم أن كلا منهما قد يستخدم أساليب الاختراق 
What is Click Fraud? - Internet Marketing Services By (n.d.). Retrieved from http://www.‏ )14( 


optimum7.com/internet-marketing/ppc/what-is-click-fraud.html 
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نفسهاء فإن اختراق القرصنة هو هجوم موجه من قبل القرصان ويستهدف مجموعة أو 


هجوم القوة الغاشمة :(brute-force attack)‏ 

هجوم القوة الغاشمة هو الطريقة التي يحاول قراصنة الحاسب من خلالها الوصول إلى 
حساب على النظام ا مستهدفء. وذلك محاولة «تخمين» كلمة المرور الصحيحة. à»‏ العادة 
تكون هذه العملية آلية وقد تستغرق ساعات لإكمالها. 

وعلى الرغم من أن إصدارات هذا الهجوم التي «صنعت للعرض على شاشة التلفاز» 
والتي يحاول فيها القرصان بعضاً من كلمات المرور وبعد ذلك يتمكن بسهولة من الدخول 
إلى جهاز الحاسب الآلي» إلا أنها ليست بعيدة جدا عن الحقيقة. إن تحليل ٤٠١‏ ألف كلمة 
مرور تم تسريبها من خلال هجمة على موقع ياهو والتي تم ذكرها آنفا في هذا الفصلء 
يبرز لنا النقاط الهامة التالية: 

.)١١١١١١( حساب على ياهو هي‎ ١7١ إن كلمة السر ل‎ ٠ 

ه تم استخدام كلمة «password»‏ ككلمة مرور في ۷۸١‏ مرة. 

٠‏ تم استخدام كلمة «ninja»‏ ككلمة مرور YYY à‏ مرة (لكن ا ملستخدم $ يكن 

كالنينجا الذي أراد أن يكون مثله). 

وفيما يلي due‏ من كلمات السر غير الملائمة والتي تحتوي على أسوأ Yo‏ كلمة مرور في 

عام ۲۰۱۱ (الجدول (V1‏ حيث تم استخراجها من برنامج مكافحة الفيروسات JP(ESET)‏ 


هجمات بيانات الاعتماد الافتراضية (Default credentials attacks)‏ 


ju‏ الأجهزة مصممة لتكون متصلة عادة من المصنع بكلمة مرور افتراضية. وينطبق 
هذا الكلام على بعض التطبيقات البرمجية وقواعد البيانات. وتشير هجمات بيانات الاعتماد 
الافتراضية إلى الحوادث التي يقوم فيها قراصنة الحاسب بالوصول إلى نظام أو إلى برنامج 


(15) http://blog.eset.com/2012/06/07/passwords-and-pins-the-worst-choices 
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محمي بواسطة اسم مستخدم وكلمة مرور موحدة ومحددة Uus‏ (ومن ثم تكون معروفة 
على نطاق واسع). 


وهناك العديد من ال مواقع الإلكترونية التي تقوم بجمع قوائم كلمات السر الافتراضية. 
موقع (CIRT.net)‏ على سبيل «JULI‏ يحتفظ بقاعدة بيانات تتضمن YaY'V‏ كلمة مرور 
افتراضية من £V‏ شركة مثل مايكروسوفت (Microsoft)‏ وفيريزون (Verizon)‏ 


الجدول (7-): YO isl‏ كلمة مرور ۲۰۱۲۱ 


عند اكتمال تشيت خادم تعليمات الاستعلام البنيوية )2000 (Microsoft SQL Server‏ فإن حساب 
مسؤول قاعدة البيانات « «sa‏ يظل دون كلمة مرور. 





ds‏ شهر يوليو من عام ۲١٠۲‏ اكتشف أحد مزودي خدمة الإنترنت الرئيسين في هولندا 
أن حسابات العملاء معرضة للاختراق بسبب بيانات الاعتماد الافتراضية؛ إذ جرى إعداد 
اسم ال مستخدم ليتكون من الرمز البريدي بالإضافة إلى عنوان الشارع, في حين تم ضبط كلمة 
5s Ll‏ الأولية لتكون -«welkom01»‏ وعندما جرى القيام بالفحص الأمني على الحسابات 
تم اكتشاف أن ٠٠١‏ آلف عميل م يكلفوا أنفسهم عناء تغيير كلمات المرور الافتراضية 
الأولية. 

والاختلاف الطفيف في الموضوع هو نقطة الوصول اللاسلكي (Wireless Access Point)‏ 
والتي قد يكون لديك مثلها في ال منزل. فمن أجل الربط بجهاز التوجيه المنزلي (home router)‏ 
والوصول إلى الشبكة اللاسلكية تحتاج إلى اسم الشبكة والذي يتم بثه واكتشافه من قبل 
جهاز الحاسب الآلي» كما تحتاج إلى كلمة مرور الموجه. وهناك نوعان من كلمات ال مرور 
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الشائعة لنقاط الوصول اللاسلي (WAPs)‏ والتي يتم توزيعها من قبل مزود خدمة الإنترنت: 
أماأن تكون عنوان جهاز التوجيه المادي «(MAC address)‏ أو قيمة ست عشرية أخرى 
(hexadecimal value)‏ وهكن العثور بسهولة على كلمة المرور التي تكون مكتوبة على 
الجانب السفلي من نقاط الوصول .(WAPs) (LUI‏ وكل ما يحتاج إليه قراصنة الحاسب 
وصول سريع إلى الشبكة الخاصة بك خلال اجتماع أو احتفال وبعد ذلك سيكون لديهم 
إمكانية الوصول الفوري للشبكة. 


تحرير أجهزة الهاتف المحمول «الآبفون» (Jailbreaking iPhones)‏ 
في عام ۲١٠١‏ بدأت الجامعات ملاحظة موجة جديدة gub‏ منافذ الشبكة تستهدف منفذ رقم YY‏ وهو 
ال منفذ المخصص للوحة المراقبة ال مشفرة المتعلقة بحارس القشرة الآمنة Security Shell Daemon(SSHd)‏ . 
وعند تعقب بروتوكول الإنترنت» تم اكتشاف أن ذلك على صلة بتحرير أجهزة الهاتف المحمول iPhones)‏ 


ويشير مصطلح J| (jailbroken)‏ حقيقة أن نظام تشغيل الهاتف المحمول (iPhone lOS)‏ يتم استبداله 
بنظام تشغيل آخر من قبل المستخدم. إن تحرير أجهزة الآيفون عملية سهلة يتم من خلالها إزالة بعض 
القيود التي تفرضها شركة أبل على مطوري التطبيق. لكن اتضح أن عملية التحرير ثضيف خادم القشرة 
الآمنة (Security Shell Server)‏ لجهاز الآيفون بحساب افتراضي بمسمى «جذر» وكلمة مرور افتراضية 
هي «alpine»‏ إن مسحاً سريعاً للشبكة وللمستخدمين يقود لأجهزة الهاتف المحمول (iPhones)‏ المحررة 
بكلمات مرور افتراضية مما يؤدي إلى أن يكون التصرف في تلك الأجهزة «مملوكا» لقراصنة الحاسب. 





هجمات تجاوز سعة المخزن المؤقت :(Buffer overflow attacks)‏ 

sul نبداً هذه الجزئية بمثال. تجاوز سعة المخزن المؤقت مثل وضع جالون من‎ Leo 
في إناء سعته كوب واحد فقط. في نهاية المطاف سيطفح الماء وسيستخدم الأماكن الأخرى‎ 
التي يُفترض ألا يذهب إليها. وعادة يضيع الفائض ولا يتم الاستفادة منه. ولكن في عام‎ 
الكمبيوتر الفائض المشكل بدقة هكن أن يسفر عن مفاتيح العام.‎ 

في عام الحوسبةء يحدث تجاوز سعة ا مخزن المؤقت عندما تكون أبعاد البرنامج أو 
الإناء غير محددة بشكل جيد. والمحتوى الذي كان من المفترض أن يناسب الذاكرة. يطفح 
و«يتجاوز» أجزاء أخرى من ذاكرة الحاسب الآلي. وإذا كان محتوى الفائض مصمماً بشكل 
جيد فإنه يمكن «خداع» جهاز الحاسب الآلي وإقناعه بأن الفائض هو في الواقع جزء من 
البرنامج ويحتاج إلى تشغيل. 


أمن المعلومات وإدارة مخاطر تقنية المعلومات ۹۷ 


الفصل السادس 


رمز الاختراق à (Hello World)‏ لعبة سوني بلاي ستيشن ن الجديدة (PS Vita)‏ 
تعد ألعاب سوني بلاي ستيشن (Sony's PSP)‏ المفضلة بين قراصنة الحاسب الآلي وذلك لسهولة اختراقها. ويمكن 
تغيير وحدة التحكم المحمولة للعب بألعاب وبرامج تقليدية وا معروفة باسم .(homebrews)‏ ومع الكشف عن 
لعبة بلاي ستيشن الجديدة والتي تسمى (PS Vita)‏ تأمل شركة سوني أن أيام الاختراق قد ولت دون رجعة. 


وللأسف كانت شركة سوني مخطئة. 

تمكن قرصان حاسب dob‏ يحمل الاسم (Wololo) jill‏ من نشر أول رمز اختراق (Hello World)‏ على لعبة 
بلاي ستيشن الجديدة .(PS Vita)‏ وباستخدام تجاوز سعة المخزن المؤقتء GSE‏ قرصان الحاسب من إيجاد طريقه 
إلى اللعبة الجديدة. ومع العديد من الاختراقات لألعاب سوني بلاي ستيشن التي م تنشر ممجتمع الألعاب ولا 
لقراصنة الحاسب YII‏ فإن الألعاب والبرمجيات ستستمر في المدى القصير على البلاي ستيشن الجديدة PS Vita)‏ 





وتستخدم دودة الرمز الأحمر (Code Red worm)‏ تجاوز سعة المخزن المؤقت من 
خلال الاتصال بثغرة في خادم (Microsoft IIS Server)‏ ومن ثم إرساله لسلسلة كبيرة من 
حروف (N)‏ (حرف-2-كبير). وف نهاية السلسلة تقوم الدودة بإرسال مقطع من تعليمات 
برمجيات ليتم تنفيذه من قبل خادم الشبكة. بسيطة وفعالة! 


حماية المجمع (Compiler protection)‏ ضد المشكلات المعروفة لتجاوز سعة ال مخزن المؤقت 
ومعرضة لتجاوز سعة ا مخزون المؤقت: 
user@server -/user $ gcc simple.c -0 simple‏ 


/tmp/ccECXQAX.o: In function ‘main: 


simple.c: (.text-0x17): warning: the ‘gets’ function is dangerous and should not be used. 





هجمات البرمجة النصية للمواقع المشتركة :(Cross-site scripting (XSS) attacks)‏ 


وهذه الهجمات هي الأكثر شيوعا على شبكة الإنترنت. وتحدث هذه الهجمات عندما 
يسمح الموقع الإلكتروني مستخدم مخرب بإدخال معلومات ذات محتوى مضر. ويكون 
pm‏ عادة رمز جافا سكربت (javascript code)‏ يتم تشغيله في جهاز VRE‏ عندما 
يقوم بزيارة الموقع. والأهداف الشائعة لهذه الهجمات هي المنتديات على شبكة الإنترنت. 
وعادة لا تتحقق برمجيات تشغيل هذه المواقع من مدخلات ال مستخدم مما يسمح 
للمستخدمين بإدخال رمز إتش في el‏ إل (html code)‏ أو رمز جافا (javascript code)‏ 
ثم يتم نشر الرمز في ال منتدى حتى يقوم المستخدمون الآخرون بتشغيله (الشكل (QA‏ 


YAA‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


التهديدات والثغرات الأمنية 


ووفقا لشركة C (Accunetix)‏ وهي شركة متخصصة في أدوات تقييم الثغرات على 
شبكة الإنترنت» فإن المواقع الإلكترونية Ali aul‏ من قبل هجمات (XSS)‏ تستخدم عادة 
للقيام بالأنشطة الخبيثة التالية: 

JA aab) dies 

o‏ الوصول إلى معلومات حساسة أو معلومات مقيدة. 

dia «‏ عل ومول مان وة مجان 

٠‏ التجسس على عادات التصفح تخد مي الإنترنت. 

qux تغيير وظائف‎ ٠ 

٠‏ التشهير العام بفرد أو بمنظمة. 

o‏ تشويه تطبيقات الإنترنت. 

ENSE ف‎ 

شكل :(V-3)‏ المستوى العالي لهجمات البرمجة النصية للمواقع المشتركة 


الانترنت منتدى الكتروني المستخدم المطمئر هاكر 
الإصابة بالرمز الخبيث 
١‏ زيارة الموقع والإصابة بالرمز الخبيث [V‏ 


يصبح روبوت شبكي 


(16)http://www.acunetix.com/websitesecurity/cross-site-scripting/ 
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الفصل السادس 


وفيما يلي مثال مبسط لهجوم JELI los (XSS)‏ بالرمز الموضح olo‏ وذلك للوصول لصفحة الإنترنت بحيث 
تحصل هذه الصفحة على رمز للمتغير (وعادة ما يكون ذلك المتغير اسما) من عنوان الموقع (URL)‏ وبعد ذلك 
يتم عرض رسالة ترحيبية على الشاشة. 


php?» 

;((name = $ GET['name$ 

;««echo «My name is $name«br 

/>echo «<a href-"http://xssattackexamples.com/"» Click to Download 
j» >a 


>? 


ويمكن لقراصنة الحاسب أن يقوموا بصياغة عنوان الموقع (URL)‏ إلى العنوان التالي: 


index.php?name-guest«script»alert('owned'] «/script» 


ويعد هذا النوع من هجمات ال (XSS)‏ غير مستمر, وأنه إلى حد بعيد النوع الأكثر شيوعاً من الهجوم. ويحدث 
ذلك عندما تقوم البرامج النصية من جانب الخادم باستخدام البيانات المقدمة من قبل العملاء لإنشاء صفحة من 
النتائج لهذا المستخدم دون التحقق من صحة الطلب”"". 





هجمات حقن تعليمات الاستعلام البنيوية :(SQL injection attack)‏ 


هجمات حقن تعليمات الاستعلام البنيوية هي تقنية تستخدم لاستغلال كيفية تواصل صفحات الإنترنت مع قواعد 
البيانات الخلفية. ويمكن للمهاجم إصدار أوامر إلى قاعدة بيانات (على شكل عبارات SQL‏ صممت خصيصاً لهذا 
الغرض) باستخدام حقول الإدخال ف الموقع الإلكتروني”". وكما ترى أن هجمات حقن تعليمات الاستعلام البُنيوية 
مشابهة إلى حد كبير لهجمات البرمجة النصية للمواقع المشتركة (XSS)‏ الفرق الأساسي هو أن هجمات Jas (XSS)‏ 
في الواجهة الأمامية للموقع الإلكتروني في حين أن هجمات حقن تعليمات الاستعلام البُنيوية تُنفذ في الخادم. والمشكلة 
في كلا الحالتين أنه لا يتم التحقق من مدخلات المستخدم بالشكل الصحيح. 


(http://www.insecurelabs.org) غير المستمرة على موقع‎ (XSS) بإمكانك مشاهدة مثال لهجمات ال‎ (VV) 
اختر واحداً من بنود الجدول وألصق‎ (XSS) قام أصحاب هذا الموقع بتصميمه خصيصاً ليكون عرضة لهجمات ال‎ 
النص البرمجي الموجود أعلاه. وإذا كان الجافا سكريبت مفعلا في متصفح الشبكة الخاص بك سترى الرسالة «اممملوكة»‎ 
تظهر على سطح الشاشة.‎ 

(18) Verizon's Data Breach Investigations Report (n.d.). Retrieved from http://www.slideshare.net/ 


cloudrunnertom/verizon-dbir 
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ومثال على «US‏ دعنا نفترض أن موقعاً إلكترونياً يسمح لك بإدخال اسم العائلة في مربع نص» وعند الضغط على 
إرسالء يقوم الموقع بعرض الاسم الأول مع رقم الهاتف. الاستعلام الذي يرسله خادم الشبكة إلى قاعدة البيانات 
الخلفية قد يبدو مثل الاستعلام التالي: 

SELECT fname, phone FROM contacts WHERE lname = ‘doe’ 


لكن ماذا لو أدخلنا النص التالي في مربع النص: 


;Y-V doe OR 


ولأن شرط Ul» «VY»‏ صحيح فإن قاعدة البيانات ستقوم بعرض كافة محتوياتها. ولكن الأمر قد يزداد diua‏ 


doe exec master.dbo.xp cmdshell 'iisreset/Stop 


إذا كان خادم قاعدة البيانات يسمح للقشرة بالهروب (يمكن تنفيذ الأوامر خارج بيئة قاعدة البيانات» على نظام 
التشغيل نفسه). فإن المدخلات أعلاه ستقوم بإيقاف خادم الشبكة (IIS web server)‏ على الجهاز. 





في عام ۲١٠١‏ قامت مجموعة القراصنة المعروفة باسم مجموعة (المجهول) 
«Anonymous»‏ باستخدام حقن تعليمات الاستعلام البنيوية ضد واجهات الشبكة غير 
امحصنة وذلك للكشف عن اممعلومات المخزنة في خوادم قواعد البيانات ل 0١‏ جامعة حول 
العام» كفنا ذلك جامعات برينستون (Princeton)‏ حون هوبكنز «(John Hopkins)‏ 


(Rutgers) وروتجرز‎ 


إساءة الاستخدام: 
إساءة الاستخدام يتضمن الاستخدام غير المصرح به للأصول. وفي معظم الحالات فإن 
Bs Lu]‏ الاستخدام b‏ نتيجة لغياب مبدأ الأمن العام المعروف باسم «الحاجة للمعرفة». 
واستنادا إلى مبدأ الحاجة للمعرفة فإن الفرد لا يكون لديه حق الوصول إلى الأصول إلا إذا 
كان يحتاج إلى ذلك لأداء وظيفته. وهذا المبدأ ينطبق بشكل مستقل عن الوظيفة التي 
يشغلها الشخص في المنظمة. 
http://pastebin.com/AQWhu8Ek‏ )19( 
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إساءة استخدام الامتيازات: 
يحدث إساءة استخدام الامتيازات عندما يستخدم الموظف منصبه و/أو الوصول إلى 
الأصول بطريقة غير سليمة مما يتسبب في الضرر للأصول و/أو المنظمة. 


وكشخص متخصص في تقنية ا معلومات» أول ما يتبادر إلى الذهن هو إساءة استخدام 
مسؤولي النظم لامتيازاتهم. لنأخذ على سبيل JELI‏ ستيفن بارنز (Steven Barnes)‏ أحد 
متعهدي تقنية ا معلومات. عمل ستيف لشركة (Blue Falcon Networks)‏ والمعروفة OYI‏ 
باسم .(Akimbo Systems)‏ وف عام ۲۰۰۸ صدر حكم من محكمة في ولاية كاليفورنيا 
على ستيفن بدفع 06 آلف دولار كتعويضات لشركة (Akimbo Systems)‏ كما حكم عليه 
بقضاء سنة واحدة ويوم واحد في السجن. والسبب أن ستيفن استخدم صلاحياته للدخول 
على خادم البريد الإلكتروني للشركة (Exchange email server)‏ لإزالة القيود التي وضعت 
لحماية الخادم من مرساي البريد المزعج ومن ثم جرى استخدام الخادم كبروكسي للرسائل 
غير المرغوب فيها. وكانت النتيجة مشابهة لهجمات الحرمان من الخدمة حيث تعطل 
نظام البريد الإلكتروني لشركة (Akimbo Systems)‏ وذلك عندما وجد مراسلو البريد المزعج 
امنافذث مفتوحة. lido‏ لستيفن فإنه فتح المنافذ انتقاماً من زملاء العمل في شركة Blue)‏ 
(Falcon Networks‏ والمعروفة الآن باسم (Akimbo Systems)‏ والذين جاؤوا إلى منزله 
وأخذوا أجهزة الحاسب JYI‏ الخاصة به بالقوة وذلك في عام D ۲٠٠۴۳‏ 


الاحتيال والاختلاس: 


يعد قانون الاحتيال وإساءة الاستخدام والوصول المزيف لأجهزة الحاسب dI‏ 
e (Counterfeit Access Device and Computer Fraud and Abuse Act)‏ 
أقره الكونغرس في عام ٤۱۹۸ء‏ أول محاولة من قبل الحكومة الاتحادية للتعامل مع قضية 
احتيال في مجال تقنية ال معلومات. كما يجرم القانون استخدام أجهزة الحاسب الآلي لإلحاق 
الضرر بأنظمة الحاسب الآلي» متضمناً ذلك الأجهزة والبرمجيات الخاصة بها. وهذا القانون 


موجه في elàll‏ الأول نحو قراصنة الحاسب الآلي. ومنذ ذلك الحين تم استخدام هذا القانون 


(20) http://gawker.com/5076432/angry-angry-it-guy-goes-to-jail 
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ممقاضاة ال موظفين الذين يستغلون مناصبهم للوصول إلى أصول المنظمة بهدف الاحتيال 
واختلاس الأموال من المنظمات وعملائها. 
إن حالات الاحتيال والاختلاس باستخدام موارد تقنية المعلومات pS‏ وخصوصا عندما 
يجد الأفراد أنفسهم في ضائقة مالية. وقد أدى ذلك إلى قيام الشركات بالتحقق من الرصيد 
الدائن للموظفين الذين لديهم امتياز الوصول إلى أصول قد ترتبط بها عمليات احتيال. 
às‏ شهر أغسطس من عام ۲ بدأت امرأة من نوكسفيل (Knoxville)‏ بقضاء خمس 
سنوات تحت المراقبة بعد اعترافها بارتكاب عملية احتيال باستخدام أجهزة حاسب آلي 
وذلك أثناء عملها مديرة عمليات التجزئة في مصرف سن ترست (SunTrust Bank)‏ . 
وكانت وظيفتها التأكد من أن الفروع في منطقتها تمتثل لممارسات الأمن الداخليء وفقا 
لأعضاء النيابة العامة. وكان لديها إمكانية الوصول إلى السجلات اطالية لعملاء سن ترست 
من خلال جهاز الحاسب الآلي المخصص لعملهاء وفقا للمدعي العام. وفيما يلي أمثلة أكثر 
على الاحتيال باستخدام أجهزة الحاسب الآلي: 
٠‏ إرسال خدع عبر البريد الإلكتروني بهدف تخويف الناس (البرمجيات الُثيرة للقلق, 
وبرمجيات الفدية). 
° استخدام جهاز الحاسب JI‏ لشخص آخر بطريقة غير شرعية أو «التظاهر» بأنه 
شخص آخر على الإنترنت. 
٠‏ استخدام أي نوع من البرمجيات الخبيثة أو رسائل البريد الإلكتروني لجمع المعلومات 
من منظمة أو شركة بقصد استخدامها لتحقيق مكاسب مالية. 
٠‏ استخدام أجهزة الحاسب الآلي لإغواء القاصرين في تحالفات جنسية. 
e‏ انتهاك قوانين حقوق التأليف والنشر عن طريق تحميل وتبادل مواد محفوظة 
الحقوق دون إذن صاحبها. 
٠‏ استخدام أجهزة الحاسب JYI‏ لتغيير ا معلومات» مثل الدرجات» وتقارير العمل وغيرها. 


(YV)‏ الحكم على موظفة سابقة في بنك سنترس في قضية احتيال باستخدام أجهزة الحاسب YII‏ تم استعادتها من امموقع 
http://www.knoxnews.com/news/local/former-suntrust-bank-employee-sentenced-in-computer-‏ 


html.357098531-fraud-case-ep-361004043 
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استخدام البرمجيات غير المعتمدة: 


قد يصبح الموظفون وسطاء تهديد عندما يقومون بعمل لا يتفق مع سياسة المنظمة 
كتثبيت تطبيقات برمجية على أجهزة الحاسب الآلي. البرامج المثبتة في أجهزة الحاسب 


المكتبية أو الهواتف الذكية قد توفر لقراصنة الحاسب وسيلة للوصول إلى الأصول المقيدة 
AL‏ للمنظمة. 


ويعد السماح للمستخدمين بتثبيت البرمجيات على الحواسب المكتبية قضية إشكالية 
خصوصاً بالنسبة للجامعات. وبشكل تلقائي يجب أن تكون الجامعات مفتوحة وغير مقيدة 
لأنها المكان الذي يجتمع فيه حب الاستطلاع والبحوث لتشجيع الإبداع. من جهة أخرى 
يمكن أن الانفتاح نفسه يعرّض البيانات البحثية وغيرها من الأصول المعلوماتية إلى وسطاء 
تهديد مما يؤدي إلى عواقب وخيمة على الوحدة الإدارية والأفراد. 

وخير مثال على القضايا ا مرتبطة بتثبيت البرمجيات هو برنامج (Bonzi Buddy)‏ والذي 
ظهر في أواخر التسعينيات» كان الغوريلا الأرجواني (Bonzi)‏ اللطيف «gil ls‏ وكان مُفضلاً 
لدى كثير من ا مستخدمين في الحرم الجامعي» وكان يتجول على سطح مكتب جهاز الحاسب 
الآلي وكان يُسلي المستخدمين. ولسوء الحظ كان أيضاً يجمع معلومات عن عادات التصفح 
الخاصة باطمستخدم» ومحلات التسوق المفضلة للمستخدم goly)‏ تجسس-١۷W2۲مء)»‏ 
ومن ثم يعرض الإعلانات ذات الصلة على الشاشة (برنامج إعلانات تطفلي (adware-‏ 
وأخيراً فإنه يستخدم الكثير من طاقة وحدة ا معالجة المركزية (CPU)‏ مما يؤدي إلى بطء 
شديد في جميع التطبيقات الأخرى الشكل .)١١-١(‏ 

وبسبب انفتاح الجامعات على العام الخارجي فإنها لا تملك سياسة حظر المستخدمين 
من تثبيت البرمجيات على أجهزة الحاسب الآلي» ولكن العديد من المنظمات الأخرى تقوم 
بذلك. ففي شهر أغسطس من عام ۲١٠١‏ قررت المحكمة الجزئية الأمريكية للمنطقة 
الغربية من ولاية أوكلاهوما أن الموظف الذي يقوم بتحميل برمجيات من الإنترنت في 
انتهاك لسياسة المنظمة قد يكون مسؤولاً موجب قانون (CFAA)‏ عن قيام البرمجيات 
ا محمَلة بالحصول على وثائق المنظمة السرية. ففي القضية التي كانت بين شركة Musket)‏ 
(Corp‏ وشركة col; «(Star Fuel of Oklahoma LLC)‏ محكمة أن أي شخص مخول 
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لاستخدام جهاز الحاسب الآلي لأغراض معينة ولكنه يتعدى تلك الحدود. فإنه يعد قد 
«تجاوز الوصول ا مسموح» وفقا لقانون (CFAA)‏ 


db‏ تغيير التهديد (threat shifting)‏ استجابة من قراصنة الحاسب للتحكم في gogl‏ وذلك بتغيير خصائص 


الأهداف/ المستهدفين من أجل تجنب 91/5 التغلب على إجراءات الوقاية المضادة". 





(Bonzi Buddy) برنامج‎ :(YY-3) الشكل‎ 










| Talk! 
| E-Mail! 


| Browse! 
| Search! 


| Sing! 
I Laugh! 


| Download! | Tell Facts! 


| Schedule! 


الهندسة الاجتماعية: 
الهجمات الاجتماعية تشمل محادثات أو حوار مع مستخدمين بهدف إقناعهم أن يفعلوا 
شيا لا يقومون عادة بفعله. ds‏ ظروف معينة حتى مستخدمو الحاسب الآلي الأذكياء قد 
يكونون عرضة لهجمات الهندسة الاجتماعية. 
التحجج الاحتيالي :(Pretexting)‏ 
وهي التقنية التي يستخدم فيها المهاجم سيناريو وهمي للتأثير في شخص ما لإنجاز عمل 
ما أو بهدف إفشاء معلومات. ويعرف (التحجج الاحتيالي) خارج المنطقة الفنية باسم (لعبة 
(con game-g 2Jl‏ أو (الاحتيال -تصهءة). 
QJ» (YY)‏ تقييم إجراء #2fishygirl on Scribd (n.d.). Retrieved from https://www.scribd.com/ «lel‏ 
document/65740364/Guide-for-Conducting-Risk- Assessments‏ 
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وأحد أنواع التحجج الاحتيالي هو الانتحال (phishing)‏ والذي يستخدم فيه المهاجم 
البريد الإلكتروني في محاولة لجعل متلقي الرسالة الإلكترونية يفصح عن بعض ال معلومات. 
ويمكن أن تكون رسائل الانتحال الإلكترونية مقنعة وجميلة وجذابة بشكل كبير» كما هكن 
أن يأخذ المرسل دور شخصية ذات lala‏ أو يأخذ دور شخص يعرفه المستخدم. ويقترن 
الانتحال عادة برسائل البريد الإلكتروني غير المرغوب فيها (spamming)‏ وهي التي يقوم 
فيها المهاجم بإرسال آلاف وآلاف من الرسائل الإلكترونية على أمل إقناع نسبة صغيرة من 
المتلقين بفتح ملف مصاب ببرمجيات خبيثةء أو الرد برقم الحساب أو كلمة المرور. 


التصيد الانتحالي في صحيفة فايننشال تايمز 
في التاسع والعشرين من شهر مايو من عام ۲١٠١‏ أعلنت صحيفة فايننشال تاهز أن هجوماً انتحالياً ناجحاً قد 
اصطاد على حين غرة صحفيين ذوي اطلاع واسع في الصحفية الموقرة حيث كانت الرسائل الإلكترونية موجهة 
ومصممة خصيصاً لصحفية الفايننشال تاهز. وتمكن قراصنة يطلقون على أنفسهم اسم الجيش السوري الإلكتروني 
(Syrian Electronic Army)‏ رما بعد الأحداث الجارية في سوريا في ذلك الوقت» من الوصول إلى حسابات 
البريد الإلكتروني لكثير من الصحفيين المخضرمين. ولقراءة المزيد من التفاصيل بإمكانك الرجوع إلى رابط الصحيفة 
الموجود أدناه. 


وا ميزة المثيرة للاهتمام في هذا التقرير هو الإشارة إلى أن العديد من المنظمات تعترف بكل أريحية أنها وقعت 
ضحية لتلك الهجمات» وتوضح كيف هكن للمنظمات الأخرىء ها في ذلك منافسيهم» أن ينقذوا أنفسهم من عار 
الوقوع ضحايا لهجمات مماثلة. وهذا تطور كبير عما كان يحدث قبل بضع سنوات عندما كان من النادر أن 
تعترف المنظمات بمثل تلك الهجمات Ais‏ 


امرجع: 
Betts, A. «A sobering day,» Financial Times labs, http://Tabs.ft.com/201305//a-sobering-day/‏ 
(accessed 071612013/)‏ 





ومع توجه الاتصالات الهاتفية ما يعرف بالتواصل الصوت عبر شبكة الإنترنت Voice)‏ 
(Over IP‏ أو اختصاراً (VOIP)‏ ظهرت طريقة جديدة لهجمات التحجج الاحتيالي 
.(pretexting)‏ وتعرف هذه الطريقة ب (Spam over Internet Protocol)‏ أو اختصاراً 
(SPIT)‏ وهي عبارة عن مجموعة من المكالمات الهاتفية المسجلة مسبقاً باستخدام شبكة 
مخترقة من شبكات (VOIP)‏ ومن خلال هذه الطريقة يتم توجيه الشخص الذي يرد 
على المكالمة «بالبقاء على الخط» أو الإجابة عن أسئلة والتي يتم تسجيلها ونقلها لقراصنة 
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الحاسب. وبعكس تسليم البريد الإلكتروني حيث يوجد عناصر للتحكم لإيقاف معظم 
الرسائل غير ال مرغوب فيها والتي تصل للمستخدم» لا يوجد طريقة للتحكم في المكاطمات 
الهاتفية التي تصل إلى هاتف شخص ما. وبينما كان لدى بعض شركات الهاتف «قوائم 
سوداء» متاحة للعملاء (مقابل رسوم رمزية)» إلا أن الوضع يكون خارج السيطرة عندما 
يتغير مصدر المكالمات بشكل دوري. 


نشاط التهديد المادي :(Physical)‏ 
وهذا يتضمن الجانب امادي أو الجانب ال ملموس للأصل. ولسوء الحظ فإن العديد من 


المنظمات لا isb‏ نشاط التهديد المادي بعين الاعتبار ها فيه الكفاية لتبرير تكاليف الحماية 
ضد تلك الأنشطة التهديدية. 


الدخول غير المرخص 

بآلية الدخول بالبطاقة. لكن وفي محاولة ليصبح الموظفون مهذبين ووديين» يقوم الموظفون 
بإبقاء الباب مفتوحا عند رؤيتهم لشخص ما يركض لاستغلال هذه الفرصة لدخول ال مبنى 
دون البحث عن بطاقته الخاصة بالدخول. وفي كثير من الأحيان لا يقوم الموظفون بتحدي 


الأفراد الآخرين (NS‏ إذا كانوا يعاملون أنفسهم بثقة وإممان انطلاقاً من fi‏ «يفترض 
أن أتجول هنا بدون بطاقتي الخاصة بالدخول». 


نعيش في عصر تحول فيه الإرهاب من وسيط تهديد غير معروف نسبياً إلى مشكلة 
كبرىء لذا فإن التحكم في الدخول غير المصرح به إلى المناطق والأنظمة المتعلقة بالبنية 
التحتية مثل المطارات ومحطات توليد الطاقة وحتى محطات الكهرباء التي تخدم منطقة 
محدودة أصبح قضية حرجة. وفي حين أن الأموار وضوابط الوصول الأخرى كانت مبدثياً 
تهدف في المقام الأول ممنع الناس من الوصول ولإصابتهم بصعقة كهربائية» لكن ما يثير 
القلق الآن هو أن الوصول غير المصرح به سيؤدي إلى نقص حاد في خدمات البنية التحتية 
الحرجة. والمنظمات الآن تراجع اممبادئ التوجيهية والمعايير لحماية الأصول. مثل معهد 
مهندسي الكهرباء والإلكترونيات (Institute of Electrical and Electronics Engineers)‏ 
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ومعاييرهم الخاصة بالأمن المادي لمحطات التوليد الكهربائية Standard for Physical)‏ 
(YY)(Security of Electrical Power Stations‏ وذلك للتركيز على وسطاء التهديد 
الجديدة وتلك التي تم تجاهلها سابقا. 


مكتبة بارنز ونوبلز (Barnes and Nobles)‏ 
في شهر أكتوبر من عام ۲١٠۲‏ تعرض عملاء المكتبة العملاقة بارنز ونوبلز (Barnes and Nobles)‏ لسرقة أرقام 
بطاقات الصرف البنكية وأرقامها السريةء وذلك عندما تم العبث بمنصات الدخول في I‏ محلا (وهذا نشاط تهديد 


مادي آخر) وذلك لتسجيل المعلومات التي استخدمت للدفع من جميع العملاء. وتم اكتشاف المنصات التي تم 
العبث بها في مواقع متعددة في جميع أنحاء الولايات المتحدة الأمريكيةء وكل cl asl‏ تدل على وجود دخول 
غير مصرح به إلى نقاط إدخال البيانات تلك. 





السرقة: 
عند التجول في الحرم الجامعي أو مكتبة الجامعة أو منطقة دراسية أخرىء ستلاحظ أنه 
من السهل أن تأخذ جهاز الحاسب JYI‏ المحمول لشخص ما عندما يخرج بسرعة للذهاب 
إلى دورة المياه. سيكون لديك متسع من الوقت GEY‏ غطاء الحاسب المحمولء وتفصل 
الكهرباء من المقبسء وتنطلق بالجهاز الجديد. 
سرقة (AvMed)‏ 


في عام ۲۰۰۹ تمت سرقة جهازين حاسب آلي تحتوي على VY‏ مليون سجل لعملاء شركة طبية تدعى AvMed)‏ 
(Health Plans‏ من مكتب مدينة غاينيسفيل في ولاية فلوريدا. استغرقت الشركة Y‏ أشهر لفهم مدى الاختراق» 


ولإشعار العملاء المتضررين. وتحتوي السجلات المحفوظة في أجهزة الحاسب JYI‏ المسروقة على أسماء أعضاء 
الشركة وعناوين المنزلء وأرقام الهاتف» وأرقام الضمان الاجتماعي» وغيرها من البيانات الحساسة للغاية مثل 
التاريخ الطبي» ومعلومات التشخيص. والإجراءات الطبية» ومعلومات الوصفات الطبية. ورّفعت دعوى قضائية 
في عام ٠٠٠١‏ نيابة عن العملاء. 





الأخطاء :(Error)‏ 
هذه الفئة من أنشطة الوسطاء تشمل كل عمل غير صحيح وغير مقصود. وتشمل 
الإهمالء والحوادثء والعثرات» وأعطال الأجهزة والبرمجيات» وغيرها. والأخطاء لا تشمل 

الأشياء التي تركت دون إتمامهاء أو الأشياء التي تم إتمامها بشكل غير صحيح ولكن عمدا. 
http://standards.ieee.org/develop/project/1402.html‏ )23( 
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:(Data entry errors) أخطاء إدخال البيانات‎ 

أخطاء ادخال البيانات تأت على نوعين: الحذف والزيادة. ومع وجود أخطاء الحذف 
لا يتم إدخال القيمة بطريقة مناسبة. أما أخطاء الزيادة فتؤثر في سلامة إدخال البيانات. 

وللأسف فإن أخطاء إدخال البيانات شائعة لكنها خطيرة خاصة في مجال الصحة. وتم 
وضع السجلات الصحية الإلكترونية للعمل بها في المستشفيات ومكاتب الأطباء في جميع 
أنحاء البلاد بهدف تسهيل تبادل البيانات بين الجهات الطبية وغيرها من نقاط الرعاية. 
لكن تبادل البيانات بهذه الطريقة من شأنه أن يشارك أي خطأ في إدخال البيانات نفسها. 
وفي حين أن التكنولوجيا نفسها قد تكون مهمة: إلا أن كلا من التدريب المناسبء واختبارات 
قابلية الاستخدام ضروريان لعمل هذه الأنظمة بالشكل الصحيح. 
أخطاء التهيئة :(Misconfiguration)‏ 

يجب على مسؤولي | لنظام توخي الحذر عند تعاملهم مع | لخوادم التي تحتوي على 
معلومات شخصية. وللأسف فإن تحديث البرمجيات والأجهزة تتم عادة تحت ضغط هائل 
لإعادة توافر النظام بأسرع ما يمكن وذلك يؤثر في تكامل النظام وسلامته. 

ويبدو أن حوادث أخطاء التهيئة الأكثر شيوعاً تكون ذات علاقة بتلك التحديثات. ففي 
عام ٠١١7‏ وفي جامعة نورث كارولينا في مدينة شارلوت (Charlotte)‏ أصبحت المعلومات 
الشخصية لأكثر من ٠٠١‏ ألف شخص مكشوفة بسبب فشل ال مسؤولين في ترحيل إعدادات 
الأمان بشكل صحيح من الخادم القديم الذي توقف عن العمل للانتقال إلى خادم جديد. 
والشيء نفسه حدث مع كلية نورث ويست (Northwest College)‏ في ولاية فلوريدا بعد 
هذه الحادثة ببضعة أشهر. 
البيئة :(Environment)‏ 

أنشطة التهديد التي تندرج تحت تصنيف البيئة تشمل ما يلي: 

٠‏ الكوارث الطبيعية مثل الأعاصيرء والعواصفء والفيضانات. 

٠‏ فشل الضوابط البيئية المخصصة لدعم أصول تقنية ا معلومات» مثل انقطاع التيار 
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وسطاء الكوارث الطبيعية 
قد يتبادر سؤال إلى الذهن: من أو ما هو وسيط التهديد للكوارث الطبيعية؟ يعتمد هؤلاء الوسطاء على الوجود 


الجغرافي للمنطقة التي تقع فيها أصول المنظمة. على سبيل «JUL‏ يجب أن تكون المنظمات التي تقع في وسط 
غرب الولايات المتحدة قادرة على التعامل مع العواصف. وتمثل الأعاصير مصدر قلق على سواحل المحيط الهادئ 
والمحيط الأطلسي. ويجب أن تكون المنظمات التي تقع على الساحل الغربي حذرة أيضا من الزلازل. 





تعطل تكييف الهواء: 

شركة (Level3)‏ هي شركة اتصالات ضخمة متعددة الجنسيات مقرها في كولورادو. 
وتعمل هذه الشركة على النقل الشبكي للبيانات والصوت وتوصيل المحتوى ممعظم شركات 
الاتصالات في الولايات المتحدة والخارج. 

في عام ۲١٠١‏ تعرضت الشركة لتعطل تكييف الهواء في أحد مراكز بياناتها والذي gib‏ في 
Las)‏ ولان Büze VE‏ مركو المائات assa‏ فكلفا فان الشركة Sur oS usas‏ مرك البيانات 
x Sb‏ عدد ممكن من الخوادم لتقليل تكاليف الدعم. ونتيجة لذلك فإن حفظ الهواء 
البارد أمر ضروري. وبعد ساعات قليلة» وصلت درجة حرارة محيط غرفة الخادم إلى ٠١١‏ 
درجة فهرنهايت. وعندما وصلت درجة الحرارة إلى تلك النقطةء بدأت اللوحة الإلكترونية 
الأساسية (motherboard)‏ والدوائر المتكاملة بالتعطل. وقد تعود الأقراص الصلبة للعمل 
إذا عادت درجة الحرارة إلى وضعها الطبيعي لكن المشكلات المتعلقة بالرؤوس واللوحات 
الجافة تبقى كامنة لعدة أشهر قبل أن تعاود الظهور في أي فحص مُحتمل لهذه الأجهزة. 

وسبب ال مشكلة في هذه القضية واضح. تعتمد أنظمة تكييف الهواء على إمدادات مياه 
مبردة حتى تعمل. وفي وقت سابق من ذلك اليوم تعرض خط إمدادات اطياه المبردة لنظام 
تكييف مركز البيانات الفرنسي للانفجار. وبدون مصدر بديل للمياه المبردة لا هكن لنظام 


. 


التكييف أن يعمل وقد تم إيقافه. 
الأعاصير (Hurricanes)‏ : 


نحن في شركة في الطابقين العاشر والحادي عشر من ناطحة سحاب على طريق Poydras)‏ 
(Ave‏ وبالقرب من شارع .(St. Charles)‏ لدينا مولدات كهربائية وأطنان من الطعام 
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واطياة.. ومجموعنا خمسة أشخاص. لست متأكداً كيف سيتآثر الاتصال بالإنترنت. لدي 
كاميرا ومسدسي. وتصل سرعة eb JI‏ إلى ۱۷١‏ والعاصفة إلى Yo‏ الخطر الحقيقي ليس في 
الرياح بل في العاصفة التي تدفع بالرياح إلى المدنية من الخليج عبر البحيرة. وقد لا تتعافي 
امدينة lhs‏ وبصراحة قد يكون هذا الأمر بي 

الاقتباس السابق تم نشره من قبل مايكل بارنيت (Michael Barnett)‏ وهو قائد سابق 
في الجيش ومستشار سابق لشركة (Intercosmos Media Group)‏ وهي الشركة ey‏ 
لشركة استضافة المواقع الإلكترونية .(zipa.com)‏ وتم توظيف بارنيت أساسا بصفة مدير 
أزمات وذلك مع اقتراب عاصفة كاترينا. وظل مع صديقته في مركز البيانات لحماية الأصول 
ولحسن الحظ أنه خرج Uu‏ من العاصفة. 

وأثبت إعصار كاترينا بأنه وحش تسبب في أضرار تقدر بعشرات الملايين من الدولارات. 
ومن موقعه في الطابق العاشر وثق بارنيت الفوضى والنهب وصراعه للحفاظ على استمرار 
العمليات مع تضاؤل ال موارد. وللأسف هذا لن يكون الإعصار الأخير. ففي كل «ele‏ من شهر 
يونيو إلى شهر سبتمبر» تستعد المنظمات التي مقرها بالقرب من المناطق ال معرضة للرياح 
والفيضانات المرتبطة عادة مع الأعاصير. وهذه واحدة من أكثر التهديدات اممدمرة لواجهة 
مراكز البيانات والأصول التي تؤويها””". 


الثغرات: 

عرّفنا الثغرات بأنها blä‏ الضعف في نظم المعلومات والتي تعطي التهديدات الفرصة 
ley‏ الأصول. وغالبا يستخدم التعبيران: الثغرات والتهديدات» بالتبادل في هذه الصناعة 
خصوصاً من قبل الموردين. ومع ذلك فإنه من امهم التمييز بين هذين التعبيرين. وفي حد 
ذاتها فإن الثغرة لا تشكل خطرا على الأصول. وبالطريقة نفسها فإن التهديد Y‏ يشكل خطراً 
ما م يكن هناك ثغرة في النظام يمكن استغلالها من قبل التهديد. 


http://www.baselinemag.com/c/a/Business-Intelligence/Diary-of-Disaster-Riding-Out-Katrina- (24) 
in-the-Data-Center 

Adam L. يرجى الاطلاع على هذه المقالة للحصول على بعض الأمثلة الجيدة جدا من تصريحات التهديد:‎ (25) 
https://pando. «Pineberg, «challenged hackers to investigate me and what they found is chilling 
/com/2013/10/26/i-challenged-hackers-to-investigate-me-and-what-they-found-out-is-chilling 
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ليس كل ثغرة تسبب تهديداً للشبكة: ولا يجب تصحيح جميع الثغرات على الفور. 
الثغرات التي يمكن استغلالها فقط هي التي تمثل تهديداً على عمليات المنظمة والأصول 
المعلوماتية. ومن الشائع للفرق الإدارية استلام تقارير عن الثغرات مع طلبات لاتخاذ 
إجراءات فورية للقضاء عليها. وأحد مصادر هذه الطلبات هو فريق التدقيق الداخلي 
للمنظمة. وا مصدر الشائع الآخر لرسائل (أصلحه الآن لأن الصحافة أو ا موردين يعتقدون 
بأهميته) هو الإدارة بما في ذلك العديد من مديري نظم المعلومات. لكن هل ينبغي النظر 
إلى جميع الثغرات بأنها حالات طارئة؟ وهل جميع الثغرات تستحق التكاليف ال مالية من 
الميزانية الأمنبة؟9" 


اقتباس جانبي: «التهديد الفوري» (zero-day threat)‏ هو التهديد الذي قام بتطويره وسيط 


التهديد قبل وجود حل للقضاء على الثغرة. وقبل نشر ذلك الحل للعامة. 





ويستخدم وسطاء التهديد معرفتهم بالثغرات لإنتاج تهديدات جديدة ضد أحد الأصول. 
وبالنسبة للأصول المعلوماتية فإن التعديل على رموز البرمجيات لعالجة الثغرات يعرف 
ب «تصحيح الأمان» (security patch)‏ وأفادت إدارة الأمن الداخلي لقاعدة بيانات 
الثغرات الوطنية Department of Homeland Securitys National Vulnerability)‏ 
"(Database‏ بوجود YOYY‏ 8,55 في ele‏ ۲۰۱۱ أي معدل ٠١‏ ثغرات جديدة تكتشف كل 
يوم. وهذا في الواقع يُعد تحسنا مقارنة بأرقام عام ۲۰۰۹ ۲۰٠۰ aleg‏ (الشكل Y‏ 

اختراق قاعدة بيانات الثغرات الوطنية 
تم وضع قاعدة بيانات الثغرات الوطنية (NVD)‏ والتي تدار من قبل ا معهد الوطني للمعايير والتقنية (NIST)‏ 
خارج الخدمة وذلك عندما لاحظ المشرفون نشاطاً مشبوهاً أدى إلى اكتشاف اثنين من البرامج الخبيثة على خوادم 
الشبكة الخاصة بها. ويُعتقد أن الخوادم اخترقت لمدة شهرين على الأقل. وجرى الاختراق عن طريق الثغرة 


ا موجودة في برنامج (Adobes ColdFusion)‏ 
المصدر: 


http://www.theregister.co.uk/201314/03//adobe coldfusion vulns compromise us malware catalog/ 


http://www.dslreports.com/forum/r28102110-US-National-Vulnerability-Database-Hacked 





(26) A Practical Approach - Adventures in Security - Home (n.d.). Retrieved from http:// 
adventuresinsecurity.com/blog/wp-content/uploads/2006/03/A. Practical Appr 


(27) https://nvd.nist.gov/ 
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ثغرات نظام التشغيل: 

ثغرات نظام التشغيل هي عبارة عن مشكلات نظام التشغيل التي يمكن أن تمنح 
القراصنة الوصول إلى وظائف نظام التشغيل والحسابات. ولأن نظام التشغيل هو لبنة 
البناء الأماسية لجميع التطبيقات التي تعمل على النظام» يطلب عادة من مسؤولي النظام 
تطبيق تصحيحات الأمان الخاصة بنظام التشغيل. 

وتصدر شركة مايكروسوفت تصحيحات نظام التشغيل في يوم الثلاثاء الثاني من كل شهر. 
ويعرف هذا اليوم بثلاثاء التصحيح أو الثلاثاء الأسود للتأكيد على حقيقة أن على مسؤولي 
النظام تطبيق التصحيح على خادم الاختبار (test server)‏ وتحليل تأثير التصحيح قبل 
تطبيق ped‏ على خادم الإنتاج .(production server)‏ وإذا كان تصحيح الأمان يعد 
ا Das‏ فإن شركة مايكروسوفت ستصدره بين أيام الثلاثاء. وهذا النوع من التصحيح 
يعرف بتصحيح خارج النطاق .(Out of Band Patch)‏ 


شكل :(YY-3)‏ عدد الثغرات المخترقة à‏ عام ۲ حسب Ybl‏ 
عدد الثغرات عدد الثغرات عدد الثغرات 
١‏ الثغرات العالية 
اس | سز اس Er [E‏ اط E R A‏ 
p 3M‏ ا 





ومن بين أكثر ٠١‏ ثغرات خارجية والمدرجة من قبل المورد الأمني (Qualys)‏ في شهر 
أغسطس من عام 27١1١7‏ نذكر فيما يلي الثغرات الداخلية في نظام تشغيل مايكروسوفت. 
والثغرات الداخلية هي تلك التي يمكن لقراصنة الحاسب استغلالها بمجرد أن يجد له Sbg‏ 
قدم في جهاز الضحية وعادة يتم ذلك من خلال اختراق حساب بامتيازات مستخدم عادي. 
وبعد ذلك يقوم قراصنة الحاسب باستغلال هذه الثغرات للحصول على وصول بامتيازات 
مسؤول النظام ومن ثم يسيطر على جهاز الحاسب الآلي. 
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ثغرة تنفيذ التعليمات البرمجية عن بعد للخدمات الأساسية لمايكروسوفت إكس إم إل 
-Microsoft XML core services remote code execution vulnerability (MS12)‏ 


:((and KB2719615 043 


الخدمات الأساسية لمايكروسوفت إكس el‏ إل Tsg 0,5 $5 ٠,١‏ تصل إلى مواقع غير 
مهيأة في الذاكرة مما يسمح للمهاجمين عن بعد بتنفيذ رموز برمجية أو تتسبب في الحرمان 
من الخدمة عن طريق موقع إلكتروني متقن التصميم. 

وتحدث ثغرة تنفيذ التعليمات البرمجية عن بعد بسبب الطريقة التي تتعامل فيها 
الخدمات الأساسية لمايكروس وفت إكس e]‏ إل مع الأشياء في الذاكرة. وقد تسمح الثغرة 
بتنفيذ تعليمات برمجية عن بعد إذا كان المستخدم يستعرض موقعاً إلكترونياً يتضمن بشكل 
خاص محتويات متقنة التصميم. والمهاجم الذي ينجح في استغلال هذه الثغرة قد يتمكن 
من السيطرة الكاملة على النظام المتأثر. وبعد ذلك يتمكن المهاجم من تثبيت البرامج» 
واستعراض البيانات وتغييرها وحذفهاء أو إنشاء حسابات جديدة تتمتع بحقوق المستخدم 
كاملة. والمستخدم الذي لديه حساب بامتيازات قليلة (حساب مهيأ بحقوق محدودة على 
النظام) سيكون أقل تأثراً من المستخدم الذين يعمل بامتيازات مسؤول النظاه”". 

ثغرة انتحال الشخصية من خلال شهادات ويندوز مايكروسوفت الرقمية غير ا مصرحة 
Microsoft Windows unauthorized digital certificates spoofing vulnerability)‏ 
:(KB2728973‏ 

الشهادات الرقمية غير المصرحة قد تؤدي إلى انتحال الشخصية. وتصدر الشهادات 
بشكل غير منتظم من قبل مرجع التصديق بشركة مايكروسوفت Microsoft Certificate)‏ 
(Authority‏ لكنها أصبحت تستخدم لتوثيق أجزاء من برنامج خبيث يدعى (Flame)‏ وهو 
أحد البرمجيات الخبيثة المصممة على ما يبدو لاستهداف التجسس وهو يشبه إلى حد كبير 
برنامج .(Stuxnet)‏ وقد اكتشف البرنامج الخبيث (Flame)‏ من قبل مختبرات كاسبرسكاي 
(Kaspersky Labs)‏ في شهر مايو من عام ۲ لکن على ما يبدو أنه منتشر منذ عام 
0 


(28) https://technet.microsoft.com/en-us/security/bulletin/ms12-043 
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ثغرة تنفيذ التعليمات البرمجية عن بعد لقشرة ويندوز مايكروسوفت Microsoft)‏ 


:((* £^- Windows shell remote code execution vulnerability (MS\Y 


وتحدث هذه الثغرة بسبب الطريقة التي يتعامل بها ويندوز مع أسماء ال ملف والدليل. 
وهذه الثغرة قد تسمح بتنفيذ التعليمات البرمجية عن بعد إذا فتح ال مستخدم ملفا أو دليلا 
تعمل :انما Gases‏ کل joli:‏ 

فإذا تم تسجيل الدخول بحقوق امتياز مسؤول النظام فإن المهاجم الذي يستغل هذه 
الثغرة بشكل ناجح قد يتمكن من السيطرة الكاملة على النظام المتأثر. وبعد ذلك يتمكن 
المهاجم من تثبيت quel]‏ واستعراض البيانات وتغييرها وحذفهاء أو إنشاء حسابات جديدة 
تتمتع بحقوق المستخدم كاملة. وا مستخدم الذي لديه حساب بامتيازات قليلة (حساب 
مهيأ بحقوق محدودة على النظام) سيكون أقل تأثراً من المستخدم الذين يعمل بامتيازات 
مسؤول النظام"". 

ثغرة رفع امتياز برامج تعريف نظام نواة التشغيل في ويندوز مايكروسوفت 
Microsoft Windows kernel-mode drivers elevation of privilege)‏ 


:((047-vulnerability (MS12 


وتحدث 8,55 رفع الامتياز بسبب الطريقة التي يتعامل بها نظام نواة التشغيل في 
ويندوز مع تصميمات معينة للوحة اممفاتيح. واممهاجم الذي ينجح في استغلال هذه الثغرة 
قد يتمكن من تشغيل تعليمات برمجية عشوائية في نظام نواة التشغيل. وبعد ذلك يتمكن 
المهاجم من تثبيت البرامج» واستعراض البيانات وتغييرها وحذفهاء أو إنشاء حسابات جديدة 
تتمتع بحقوق مسؤول النظام ARAS‏ 


(29) https://technet.microsoft.com/en-us/security/bulletin/ms12-048 


(30) https://technet.microsoft.com/en-us/security/bulletin/ms12-047 
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55 ,8 تنفيذ التعليمات البرمجية عن بعد لمكونات دخول بيانات مايكروسوفت 
Microsoft Data Access Components remote code execution vulnerability)‏ 
:((045-(MS12‏ 


وتحدث 8,55 تنفيذ التعليمات البرمجية عن بعد بسبب طريقة وصول مكونات دخول 
بيانات مايكروس وفت إلى كائن في الذاكرة تمت تهيئته بشكل غير صحيح. وا مهاجم الذي 
ينجح في استغلال هذه الثغرة قد يتمكن من تشغيل تعليمات برمجية عشوائية في النظام 
الممستهدف. وبعد ذلك يتمكن المهاجم من تثبيت البرامج» واستعراض البيانات وتغييرها 
وحذفهاء أو إنشاء حسابات جديدة تتمتع بحقوق المستخدم كاملة. 


الإصدار الثاني من تصريحات قوانين الثغرات في شركة (Qualys)‏ 
نصف العمر: بلغ نصف حياة الثغرات الحرجة ٠٠١‏ يوماً في جميع الصناعات. ies‏ الصناعات منفردة. جاءت 
الصناعة الخدمية بأقصر نصف حياة والتي بلغت dag) Y)‏ وجاءت صناعة الموارد المالية في المرتبة الثانية ب YY‏ 
dags‏ وصناعة التجزئة جاءت في المرتبة الثالثة ب degs YE‏ وصناعة التصنيع جاءت lae]‏ بثغرة نصف حياة وصلت 
ل 0١‏ يوماً. 


الانتشار: XT‏ من الثغرات الأكثر انتشاراً وأهمية تُستبدل بثغرات جديدة سنوياً. وتشير الدراسات إلى أن هذا 
العدد قد olj‏ بنسبة 60٠‏ منذ عام Yese‏ وأكثر المتضررين وفقا لهذا الإصدار هي البرمجيات التالية: MSFT)‏ 
(Office‏ و (SPY Y--Y Windows)‏ و (Adobe Acrobat)‏ و (Sun Java Plug-in)‏ 


الثبات: يشير هذا القانون إلى أن العمر الزمني لمعظم الثغرات - إن لمم يكن كلها - غير محدودء ونسبة كبيرة من 
الثغرات لا تكون ثابتة أبدا. وقد تم توضيح هذا القانون باستخدام عينات بيانات من تصحيحات نظام تشغيا 
مايكروسوفت التالية: (001-MSO08)‏ و (007-MS08)‏ و (015-MS08)‏ و .(021-MS08)‏ 


الاستغلال: ۸0× من استغلال الثغرات تكون متوفرة خلال بضعة أيام من الإعلان العام عن الثغرة. وقد سجلت 
مختبرات (Qualys)‏ 01 ثغرة من ثغرات الاستغلال الفوري à Le‏ ذلك ثغرة (RPC)‏ والتي أنتجت .(Conficker)‏ 
ds‏ عام VA‏ كان استغلال التصحيح الأول الذي صدر من مايكروسوفت (001-21505) متاحاً خلال ۷ أيام. 
وتضمن تصحيح الثلاثاء من شهر أبريل الاستغلالات المعروفة لأكثر من <٤١‏ من الثغرات التي تم نشرها. 


وتعد تغييرات هذا القانون أكثر جدية من قوانين الإصدار الأول ٠,١‏ والذي صدر في عام ٠٠٠٤‏ كما أنه يقدم ٠٠‏ 
يوما من الإرشادات Y dla‏ 
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ثغرات تطبيقات الشبكة: 

تطبيقات الشبكة تدرج نقطة أخرى للدخول إلى الأصول الأساسية التي تعرضها. منظمة 
(مشروع أمن تطبيقات الشبكة امفتوحة) The Open Web Application Security)‏ 
(Project‏ هي منظمة غير ربحية» ولها العديد من الفروع والمشاريع وتهدف لجعل 
تطبيقات شبكة الإنترنت أكثر أمناً. وكجزء من هذا المجهود تقوم المنظمة بنشر قائمة بأهم 
الثغرات الموجودة في تطبيقات الشبكة. وقد ناقشنا فيما مضى بعضا منها عندما تحدثنا 
عن أنشطة التهديدات. 


:(Injection) الحقن‎ 


ويحدث الحقن عندما لا تقوم آلية تفسير الأوامر المرسلة من الجهاز العميل بالتحقق 
من الأوامر قبل تمريرها إلى التطبيق لتنفيذها. وعندما لا يتم التحقق من صحة المدخلات 
بالشكل الصحيح قد يقوم خادم الشبكة محاولة تنفيذ بعض الأوامر المقيدة والتي لا يجب 
تنفيذها. وفي الواقع فإن حقيقة أن المدخلات لا يتم التحقق من صحتها يعطي ez lll‏ 
«قشرة زائفة» للولوج إلى الخادم و/أو قاعدة البيانات. 

ويتطلب منع الحقن الاحتفاظ بالبيانات التي يتم تمريرها من المصادر الخارجية (كما 
هو الحال في نماذج الشبكة) منفصلة عن أوامر واستفسارات الخلفية الحقيقية. 

الطريقة المفضلة للتعامل مع هذه القضية هي استخدام واجهة برمجة التطبيقات 
(Application Programming Interface)‏ والتي يستطيع المبرمج من خلالها تقييد نوع 
المدخلات s ALI‏ من الجهاز العميل. على سبيل JULI‏ يمكن للمبرمج أن يستخدم واجهة 
برمجة التطبيقات التي تقبل أمرا من كلمة واحدة مثل اقرأ (READ)‏ واكتب (WRITE)‏ 
وعدّل (MODIFY)‏ وأي شيء آخر غير هذه الكلمات الرئيسية يتم تجاهله. 


وإذا كانت هذه الطريقة غير متوفرة فإن على المبرمج أن يفحص التفسيرات بعناية 
كما عليه أن يقوم بتنظيف أي أمر من شأنه أن يسمح للجهاز العميل بالخروج عن البيئة 
المعهودة. على سبيل ال مثال» إذا كان الأمر ا لمرسل من الجهاز العميل سيتم تمريره كمعيار 
إلى عبارة إس كيو إل (SQL)‏ فإن على البرنامج أن يكتشف الخطأ في حال تمرير أي فاصلة 
منقوطة من قبل الجهاز العميل. 


أمن المعلومات وإدارة مخاطر تقنية المعلومات ۳۱۷ 


الفصل السادس 


ويعد الهجوم باستخدام آلية الحقن الأكثر شيوعاً والأسهل استخداماً مثل SQL)‏ 
(Injection‏ أو (LDAP Injection)‏ 


هجمات البرمجة النصية للمواقع الإلكترونية المشتركة :(cross-site scripting)‏ 


وتحدث هذه الهجمات عندما يقوم التطبيق بالتعامل مع معلومات غير موثوقة 
وإرسالها إلى متصفح الإنترنت دون التحقق من صحتها. وتسمح هذه الهجمات للمهاجمين 
بتنفيذ الأوامر البرمجية في متصفح الإنترنت الخاص بالضحية مما يسمح باختراق جلسات 
العمل الخاصة باطمستخدم» وتشويه مواقع الإنترنت, أو إعادة توجيه المستخدم إلى مواقع 
إلكترونية خبيثة. وفي حين أن الخوادم هي الأصول المستهدفة لهجمات الحقن (Injection)‏ 
فإن الأهداف الرئيسية لثغرات (البرمجة النصية للمواقع الإلكترونية المشتركة) هي العملاء 
المتصلون بالخوادم. 
تزوير الطلب عبر المواقع الإلكترونية المشتركة :(Cross-site request forgery)‏ 

عندما تجلس لاستخدام جهاز الحاسب الآلي هناك احتمال كبير أن تقوم بتسجيل 
الدخول إلى العديد من المواقع ا مختلفة Jio‏ الفيسبوك (Facebook)‏ وشبكة مايكروسوفت 
(MSN)‏ والموقع الاخبار سي إن إن (CNN)‏ وغيرها. والمهاجم الذي يستخدم ثغرة 
(تزوير الطلب عبر المواقع الإلكترونية المشتركة) يعتمد على هذه الحقيقة لإرسال «طلبات» 
لخدمات التسجيل في تلك ال مواقع نيابة عنك. 

وفي حين أن هجمات (البرمجة النصية للمواقع الإلكترونية المشتركة) «ترد» حمولة 
الخادم مرة أخرى إلى العميل فإن هجوم (تزوير الطلب عبر المواقع الإلكترونية المشتركة) 
يقوم بتنفيذ الأمر على الخادم نيابة عن العميل. 

على سبيل «JULI‏ من وراء الكواليس ومن دون dale‏ قد يقوم ez lal‏ بإرسال طلب 
باستخدام «بروتوكول نقل النص المتشعب» (HTTP)‏ إلى الخادم بهذا الشكل: 

http://somesite.com/change-password.php&user-jdoe?new-pwd-ilikepie 


يتلقى خادم الشبكة هذا الطلب» ويؤكد أنه تم تسجيل دخول «(jdoe)‏ ويقوم بتغيير 
كلمة المرور إلى .(ilikepie)‏ 


YA‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


التهديدات والثغرات الأمنية 


الحماية غير الكافية لطبقة النقل :(Insufficient transport layer protection)‏ 

وببساطة فإن ما سبق يؤكد أهمية التشفير ا مناسب لخادم الشبكة لأنه ليست جميع 
خوادم الشبكة تتطلب تشفيرا للبيانات. وفي الواقع فإن السبب الرئيسي للاتصال من خلال 
«بروتوكول نقل النص المتشعب» (HTTP)‏ هو المواقع التي تتطلب تسجيل دخول من 
المستخدمين. وما b‏ تكن عملية تسجيل الدخول مشفرة فإن كامل المحتوى الذي «Jio‏ 
ما في ذلك بيانات اعتماد تسجيل دخول المستخدم» سيكون مرئياً للمهاجم الذي تمكن من 
الوصول إلى النظام. 

ومن الأهمية بمكان استخدام لوغاريتم للتشفير بحيث تكون تلك اللوغاريتم صالحة 
ومطابقة للمعايير الحالية في مجال أمن المعلومات. وسنتطرق إلى موضوع التشفير في أحد 
الفصول القادمة. 

وأخيراً فإن وجود شهادة موقعة من جهة معروفة ومخولة بالتوقيح» وتجديد تلك 
exl‏ حبني ass de lod‏ مرا فوووا وخاصة بالنسبة للخوادم الإنتاجية. وتشير 
الشهادة الموقعة من جهة معروفة ومخولة بالتوقيع إلى عدم إمكانية الإنكار (وأن ما يدعيه 
الموقع الإلكتروني حقيقي) وهذا التشفير جدير بالثقة. 
نموذج :(Gozi)-dl‏ 

عندما تفكر في تهديدات أمن المعلومات» رها تفكر في الأشخاص الأذكياء الذين 
يستخدمون ذكاءهم في محاولة مهاجمة جهازك الشخصي لتحقيق مكاسب شخصية. لكن 
هل تعلم أن هناك صناعة 30 dt‏ تقوم بتطوير أدوات برمجية محترفة لمساعدة المهاجمين 
ا مبتدئين ليصبحوا قوة متخصصة هدفها الربح؟ في الثالث والعشرين من شهر يناير من 
عام 7١1‏ اتهم المدعي العام ثلاثة أشخاص وهم نيكيتا كوزمين (Nikita Kuzmin)‏ من 
روسياء ودينيس كالوفيسكس (Deniss Calovskis)‏ من لاتفياء وميهاي بانيسكو Mihai)‏ 
(Paunescu‏ من رومانيا بإنشاء وتوزيع برنامج خبيث أو حصان طروادة باسم (6021). 
وتم تخصيص هذا البرنامج لكل عميل بهدف مهاجمة المؤسسة LUI‏ التي يختارها العميل. 
وتم القبض على هؤلاء الأشخاص الثلاثة في مناطق مختلفة من العام خلال السنتين الماضيتين. 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات ۳۹ 


الفصل السادس 


فيروس Gozi‏ تم إصداره في عام ٠٠١0‏ وتم توزيعه على JS‏ ملف بي دي إف (PDF)‏ 
وعندما يتم فتح الملف فإن الفيروس يُثبت نفسه سراء ولا يقوم بأي نشاط خبيث حتى 
يتجنب التدقيق من برنامج مكافحة الفيروسات. وف نهاية المطاف تم تثبيت هذا الفيروس 
على أكثر من مليون جهاز حاسب آلي في جميع أنحاء العامء Le‏ في ذلك أكثر من ١٠٠ء٠٤‏ 
جهاز حاسب آلي في الولايات اممتحدة. 


الشخص الذي ابتكر فيروس (Gozi)‏ انتقائي للغاية في اختيار عملائه. فعندما يقوم 
العميل بالدفع لفريق الفيروس» سيكون اختيار الأجهزة المصابة متاحاً لذلك العميل. 
وعند ذلك قد يختار العميل مؤسسة مالية ليتم استهدافها بناء على سلوكيات الاستخدام 
أو التفضيلات المصرفية المجموعة من الضحايا المتاحة له. ويقوم فريق الفيروس بكتابة 
برمجيات مخصصة للعملاء والتي تعترض الاتصالات البنكية بين الضحايا والبنوك مما يسمح 
لعملاء الفيروس بأخذ بيانات اعتماد الحسابات البنكية. 


ولتسهيل التحويلات المالية فإن فريق الفيروس قد أغرى بعض الأفراد من خلال 
مخططات تعبئة الظروف والتي من خلالها يحصل هؤلاء الأفراد على أموال من البنوك ثم 
يقومون بإرسالها بالبريد إلى العملاء مما يوفر مستوى من إخفاء الهوية للعملاء. 

وفي حال إدانة فريق الفيروس OB‏ كل عضو من الأعضاء الثلاثة سيواجه عقوبة تصل إلى 
أكثر من ٠١‏ عاما في السجن. 


http://www.justice.gov/usao/nys/pressreleases/January13/GoziVirusPR.php 


http://krebsonsecurity.com/2013/01/three-men-charged-in-connection-with-gozi- 


trojan/ 


http://arstechnica.com/security/2013/01 /how-the-feds-put-a-bullet-in -a- bulletproof- 
web-host/ 


http://krebsonsecurity.com/wp-content/uploads/2013/01/Calovskis-Deniss-S4- 
Indictment.pdf 


yy-‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


التهديدات والثغرات الأمنية 


http://krebsonsecurity.com/wp-content/uploads/2013/01/KuzminNikita- 
Information-1.pdf 


http://krebsonsecurity.com/wp-content/uploads/2013/01/PaunescuMihai-Ionut- 
Complaint.pdf 


الملخص: 
رأينا في هذا الفصل أن التهديد يتكون من وسيط يقوم بآداء نشاط ما ضد الأصل. وبعد 
ذلك ناقشنا أهم الوسطاء وأهم الأنشطة التي يرجح أنك ستواجهها في مهنتك المستقبلية. 


أسئلة مراجعة للفصل: 

.١‏ ما التهديد؟ أعط بعض الأمثلة. 

.Y‏ ما نموذج التهديد؟ lbi‏ يعد مفيدا؟ 

.Y‏ باعتبار أن جهاز الحاسب الآلي ا محمول الخاص بك أصلاً من الأصول» ارسم نموذج 
التهديد لهذا الأصل. 

.٤‏ ما وسيط التهديد؟ Ja]‏ بعض الأمثلة. 

0. ما الأنواع المختلفة لوسيط التهديد؟ كيف تطورت وانتشرت مع مرور الوقت؟ 

1. اشرح الغش الإلكتروني النيجيري ال معروف ب )419 (Nigerian Scam‏ 

S(hacktivist) ما مجموعات «الاختراق السياسية»‎ .V 

A‏ في رأيك ما اممنظمة الموجودة في منطقتك والتي ستكون هدفاً محتملاً لهجمات 
مجموعات الاختراق السياسية S(hacktivist)‏ وطاذا؟ 

9. ما هي بعض دوافع الحكومات لرعاية أو تأييد الجرائم الإلكترونية؟ 


٠.ما‏ وسيط التهديد الداخلي؟ أعط بعض الأمثلة. وأي منها في اعتقادك الأكثر خطراً؟ 
وطاذا؟ 


أمن المعلومات وإدارة مخاطر تقنية المعلومات لفق 


الفصل السادس 


١.كيف‏ تكون الإدارة العليا وسيطا للتهديد من وجهة نظر أمن المعلومات؟ 

.ما نشاط التهديد؟ وما هي بعض أنشطة التهديد الشائعة؟ 

١.ما‏ نشاط التهديد الذي يمكن أن يصدر من المزود الخارجي للخدمات التقنية؟ 

ع ١.ما‏ هجوم القوة الغاشمة $(brute-force attack)‏ وما الهدف التقليدي لهذا الهجوم؟ 

0يف هكن للموظفين السابقين أن يصبحوا تهديدا؟ ما الذي تستطيع عمله لتقليل 
هذا التهديد؟ 

*(zero-day threat) «التهديد الفوري»‎ Us. V1 

L.V‏ تغيير التهديد S(threat shifting)‏ وكيف يؤثر في عمل المختصين في أمن 
امعلومات؟ 

.ما هجمات البرمجة النصية للمواقع الإلكترونية ا ملشتركة T(cross-site scripting)‏ 
وما الهدف التقليدي لهذه الهجمات؟ 

.ما هي بعض أنشطة التهديد التي يمكن أن تصدر من البيئة S(Environment)‏ 

.ف رأيك ما blis eal‏ تهديد يمكن أن يصدر من البيئة في منطقتك؟ 

Ls. Y Y‏ الثغرات؟ 

Ls. Y'Y‏ العلاقة بين الثغرات والتهديدات؟ 

(patch Tuesday) مجال أمن ا معلومات ما الذي يقصد بثلاثاء التصحيح‎ gy 

The Open Web) ماهى منظمة (مشروع أمن تطبيقات الشبكة المفتوحة)‎ YE 
وماذا هي مهمة للمختصين في أمن المعلومات؟‎ T(Application Security Project 


sz Jo. YO‏ £ إلى نموذج التهديد الذي طورته لجهاز الحاسب الآلي المحمول في السؤال 
الثالث أعلاهء في ell,‏ ما أهم وسيط wagi‏ وأهم blis‏ تهديد لهذا النموذج؟ 


yyy‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


التهديدات والثغرات الأمنية 


أسئلة على نموذج الحالة: 
Fo .١‏ على المعلومات الموجودة في نموذج الحالةء ما مقترحاتك التي تعطيها لأحد 
أصدقائك حتى يكون آمنا أثناء تصفحه للإنترنت؟ 
.Y‏ ما الاستضافة الخالية من الثغرات أو التي تسمى ب 3(bulletproof hosting)‏ 
السؤال). 


Y‏ ما مخالفات كل شخص من الأشخاص الثلاثة الذين اتهموا بعلاقتهم بالفيروس 
3(Gozi)‏ 


نشاط التدريب العملي-البحث عن الثغرات: 
في هذا التمرين ستقوم بتثبيت واختبار ماسح تقييم الثغرات ا مفتوحة Open)‏ 
(Vulnerability Assessment Scanner‏ (يعرف اختصارا (Open VAS Í‏ على آلة لينكس 
الافتراضية والتي سبق الحديث عنها في الفصول السابقة. ويتكون ماسح تقييم الثغرات 
المفتوحة من مجموعة من الأدوات التي تسمح ممسؤولي الأمن مسح عدد كبير من الأنظمة 
بحثاً عن الثغرات الشبكية. ولمزيد من المعلومات يرجى الاطلاع على الموقع الإلكتروني 
التالي: 
WWW.openvas.org‏ 


ولتثبيت (OpenVas)‏ افتح 8336 طرفية واذهب إلى حساب الجذر ”ائ : 


[alice8sunshine ~] $ su- 


Password: thisisasecret 





بعد ذلك استخدم مدير تشيت الحزم (YUM)‏ وذلك لتشيت الحزم المطلوبة: 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات vv‏ 


الفصل السادس 


[root&'sunshine —]£ yum -y install openvas 
Loaded plugins: downloadonly, fastestmir- 
ror, refresh-packagekit, security 

Loading mirror speeds from cached hostfile 
* atomic: www4.atomicorp.com 

* base: mirror.flhsi.com 

* extras: mirror.cogentco.com 

* updates: mirrors.adams.net 

Setting up Install Process 

Resolving Dependencies 


--» Running transaction check 


---» Package openvas.noarch 0:1.05-.el6. 


art will be installed 

--» Processing Dependency: openvas-admin- 
istrator for package: openvas-1.05-.eló. 
art.noarch 

--» Processing Dependency: wmi for pack- 
age: openvas-1.05-.el6.art.noarch 

--» Processing Dependency: openvas-scan- 
ner for package: openvas-1.05-.el6.art. 
noarch 

--» Processing Dependency: wapiti for 


package: openvas-1.05-.el6.art.noarch 





وهذا الأمر سيقوم بتثبيت ٠١‏ حزمة جديدة في النظام. وعند اكتمال التثبيت (والذي قد 
يستغرق بعض الوقت اعتمادا على اتصالك بالإنترنت) قم بتشغيل الأمر (openvas-setup)‏ 
للبدء بعملية التهيئةء وقم بإدخال القيم الموجودة أدناه. 


e‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


أمن المعلومات وإدارة مخاطر تقنية المعلومات 


التهديدات والثغرات الأمنية 


[root? sunshine —]£ openvas-setup 
Openvas Setup, Version: 0.3 

Step 1: Update NVT's and SCAP data 
Please note this step could take some time. 
Once completed, NVT's and SCAP data will 


be updated automatically every 24 hours 


Updating NVTSs.... 

Updating SCAP data... 

[i] This script synchronizes a SCAP data 
irectory with the OpenVAS one. 

[i] SCAP dir: /var/lib/openvas/scap-data 
[i] Will use rsync 


[i] Using rsync: /usr/bin/rsync 








[i] Configured SCAP data rsync feed: 


rsync://feed.openvas.org:/scap-data 
OpenVAS feed server - http://openvas.org/ 
This service is hosted by Intevation GmbH - 
http://intevation.de/ 

All transactions are logged. 

Please report problems to admin@inteva- 


tion.de 





Yo 


الفصل السادس 


۲71 


receiving incremental file list 

y 

COPYING 1493 100% 1.42MB/s 
0:00:00 (xfer#1, to-check = 3032/) 
COPYING.asc 198 100% 193.36kB/s 
0:00:00 (xfer#2, to-check = 2932/) 
debian.6.0.xml 980140 100% 652.02kB/s 
0:00:01 (xfer#3, to-check = 2832/) 
debian.6.0.xml.asc 198 100% 0.51kB/s 
0:00:00 (xfer#4, to-check = 2732/) 


Step 2: Configure GSAD 

The Greenbone Security Assistant is a Web 
Based front end 

for managing scans. By default it is con- 
figured to only allow 


connections from localhost. 


Allow connections from any IP? [Default: 


yes] no 

Step 3: Choose the GSAD admin users password. 
The admin user is used to configure 

accounts, 


Update NVT’s manually, and manage roles. 


Enter administrator username: openvas-admin 
Enter Administrator Password: 12345qwert 
Verify Administrator Password: 12345qwert 
ad main:MESSAGE:9806: 201314 19-01-h39.33 





أمن المعلومات وإدارة مخاطر تقنية المعلومات 


التهديدات والثغرات الأمنية 


EST: No rules file provided, the new user 

will have no restrictions. 

ad main: MESSAGE:9806:201314 19-01-h39.33 
EST: User openvas-admin has been success- 


fully created. 


Step 4: Create a user 


Using /var/tmp as a temporary file holder. 


Add a new openvassd user 

Login: openvas-user 

Authentication (pass/cert) [pass] : pass 
Login password : secret 

Login password (again) : secret 


User rules 


openvassd has a rules system which allows 


you to restrict the hosts that openvas- 


user has the right to test. 
For instance, you may want him to be able 


to scan his own host only. 


Please see the openvas-adduser(8) man 


page for the rules syntax. 





أمن المعلومات وإدارة مخاطر تقنية ا معلومات ۷ 


الفصل السادس 


Enter the rules for this user, and hit 
ctrl-D once you are done: 

(the user can have an empty rules set) 
Ctrl-D 

Login : openvas-user 
Password . 06eeeeeober 

Rules 

Is that ok? (y/n) [y] y 


user added. 


Starting openvas-administrator... 


Starting openvas-administrator: [ OK ] 


Setup complete, you can now access GSAD 





at: https://«IP»:9392 


ولا ستكمال عملية الإعداد ستحتاج أيضاً إلى تشغيل أمر إضافي. ونحيطك ob lole‏ هذا 
الأمر الإضافي سيستغرق ٠١‏ دقيقة أو أكثر لإتمامه لذا يرجي التحلي بالصبر. 


PYA‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


أمن المعلومات وإدارة مخاطر تقنية المعلومات 


التهديدات والثغرات الأمنية 


[root& sunshine tmp]# /opt/book/threats/ 
scripts/finish openvas setup This pro- 

gram completes the OpenVAS configuration 
process. 

Stage 1: Loading and processing plugins 
Processing 57744 plugins. Please be 

patient. This will take 15 minutes or 

more depending on your hardware. 

Starting openvas-scanner: base gpgme- 
Message: Setting GnuPG homedir to "/etc/ 
openvas/gnupg' base gpgme-Message: Using 
OpenPGP engine version ‘2.0.14 


Stage 2: Building the OpenVAS-Manger 


database 


This will take 1015- minutes depending on 


your hardware. 


done. 


Stage 3: Starting services 

Stopping openvas-manager: 

Starting openvas-manager: Stopping 
openvas-administrator: 


Starting openvas-administrator: 


Setup complete. Please open Firefox and 


go to https://www.sunshine.edu:9392 





Yya 


الفصل السادس 


افتح نافذة المتصفح واذهب إلى الموقع الإلكتروني Grsihttps//wwwsunshineedu) JII‏ 
سوف يعرض لك شهادة تحذير. ويظهر هذا التحذير لأن إنشاء الشهادة تم خلال عملية 
تيت (OpenVAS)‏ لذا فإن المتصفح فايرفوكس Y (FireFox)‏ يتمكن من التحقق من 
الشهادة من جهة خارجية. 

انقر على السهم ا مجاور لعبارة «أنا أتفهم المخاطر» (I Understand the Risks)‏ ثم 
انقر على زر «إضافة استثناء» (Add Exception)‏ سيتم عرض الشاشة ال موضحة في الشكل 
(15-3). ولقبول الشهادة تأكد من اختيار مربع الاختيار «حفظ دائم لهذا الاستثناء» 
(Permanently store this exception)‏ وانقر على زر «تأكيد استثناء الأمان» Confirm)‏ 


(Security Exception 


سيتم عرض شاشة دخول لتطبيق (Greenbone Security Assistant)‏ والذي يعد 
واحداً من العديد من التطبيقات التي تمثل نظام (OpenVAS)‏ ويقوم هذا التطبيق 
بتوفير واجهة رسومية لكافة ميزات ا مسح في نظام .(OpenVAS)‏ ولتسجيل الدخول 
استخدم حساب (openvas-user)‏ وكلمة المرور التي أنشأتها أعلاه. وتظهر الشاشة 
الرئيسية لتطبيق à (Greenbone Security Assistant)‏ الشكل .)١0-5(‏ 

اختر dago»‏ جديدة» (New Task)‏ من قائمة «إدارة الملسح>» (Scan Management)‏ 
سوف يتم عرض الشاشة في الشكل (VV)‏ ولإنشاء مهمة مسح جديدة املأ حقل «الاسم» 
(Name)‏ لقد سمينا هذه العينة (myScan)‏ لكن الاسم الفعلي ليس مهماً. قم بتغيير 
القائمة المنسدلة من «ضبط اممسح» (Scan Config)‏ إلى «مسح كامل وعميق جدا» Full)‏ 
(and very deep ultimate‏ وذلك حتى يتم مسح جميع الثغرات المتضمنة في نظام 
.(OpenVAS)‏ وبإمكانك ترك الحقول الأخرى في قيمها الافتراضية. انقر على «إنشاء 
مهمة» (Create Task)‏ لاستكمال عملية الضبط. 


yr‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 





التهديدات والثغرات الأمنية 


الشكل )16-1(: استثناء لشهادة من المتصفح فايرفوكس 





Add Security Exception 


Legitimate banks, stores, and other public sites will 
not ask you to do this. 


Server 
Location: | https www sunshine edu 9392. Get Certificate 


À You are about to override how Firefox identifies this site. 
(N 


Certificate Status 
This site attempts to identify itself with invalid 
information. 


Wrong Site 


yew 


Certificate belongs to a different site, which could indicate an 
identity theft. 
Unknown Identity 


Certificate is not trusted, because it hasn't been verified by à 
recognized authority. 


7 Permanently store this exception 


Confirm Secunty Exception Cancel 





(Greenbone Security Assistant) الشاشة الرئيسية لتطبيق‎ :)١0-5( الشكل‎ 


sunshine.edu sunshine edu PII m "n &‏ | هه 


Greenbone vas-user | Logout 
4 Security Assistant " 


Scan Management Asset Management Configuration Extras Administration 


auto retresh 





أمن المعلومات وإدارة مخاطر تقنية المعلومات ۳۱ 


الفصل السادس 


الشكل )53-1( تكوين dago‏ جديدة 


? Greenbone c Logged in as User openvas-user | Logout 


Security Assistant 








Extras Administration 


New Task 1# 


Name myScan 


Comment (optional) |My first OpenVAS scan 


Scan Config Full and very deep ultimate 2 
Scan Targets Localhost 2 

Escalator (optional) -S 

Schedule (optional) -$ 

Slave (optional) -s 


Observers (optional) 
Scan Intensity 
Maximum concurrently executed NVTs per host 4 


Maximum concurrently scanned hosts 20 


Create Task 


الشكل :(YV-3)‏ البدء à‏ مسح جديد 


Greenbone GE Logged in as User openvas-user | Logout 
Security Assistant ein 33 5 


Scan Management Asset Management Configuration Extras Administration 


myScan 
(My first OpenVAS scan) 





E yes‏ اله على dadas eds SU‏ الع de‏ زر 
البدء (انظر الشكل (NA‏ سيتم X8‏ حالة المهمة من «جديد» (New)‏ إلى «مطلوب» 
(Requested)‏ وسوف يستغرق ٠١-0‏ دقائق لإكمال عملية المسح. وبإمكانك تحديث 

صفحة فايرفوكس للتحقق من الوضع الحالي. 


rr‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


التهديدات والثغرات الأمنية 


وعند اكتمال عملية المسح انقر على زر التفاصيل (انظر الشكل (AT‏ 

صفحة تفاصيل publ‏ تقدم لك dx‏ عامة عن المسوحات التي تم تشغيلها ونتائجها. 
ولعرض تقرير gel‏ الذي تم الانتهاء منه فقطء انقر على زر التفاصيل لفتح «صفحة التقرير» 
(Report Page)‏ وف صفحة التقرير يمكنك عرض نتائج اللسح أو تحميل التقرير بصيغ 
متنوعة. ولتحميل التقرير اختر صيغة املف وانقر على زر تحميل (انظر الشكل 871( 


النتائج المطلوب تسليمها: 
احفظ التقرير کاملاً باسم (openvas. report.pdf)‏ وأرسله إلى أستاذ المادة. 
الشكل :)١8-7(‏ عرض تفاصيل المسح 


Greenbone n openvas-user | Logout 
ro Security Assistant T T مع‎ 


Scan Management Asset Management Configuration Administration 


v No auto-refresh 2 | vAgphy ovemides 2 E 
ports 





Threat | Trend 
* mn» 
Ort CERRAR Scu) ECRANS 1 lan 22.2013 [ Hoh J Pp ua "5 


الشكل :)١5-5(‏ صفحة التقرير 


myScan 


Report summary 8 
Result of Task: myScan 

Order of results: by host 

Scan started: Tue Jan 22 02:19:20 2013 

Scan ended Tue Jan 22 02:22:32 2013 








Scan status. 

Full report 2 0 2 12 0 16 < POF 2 

All filtered results: 2 0 0 0 0 2 ° Pr cjg 
Filtered results 1 - 2 2 0 0 0 0 2 * 2 F 2 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات rr‏ 


الفصل السادس 


تمرين التفكير النقدي-خطط الحرب الإلكترونية في العراق في عام :٠٠٠۳‏ 

في شهر أغسطس من عام ۲٠۰٠۹‏ ذكرت صحيفة نيويورك تاهز أنه في عام ۲۰۰۳ عندما 
كانت الولايات المتحدة تخطط لحرب العراق» وضعت وكالات الاستخبارات ووزارة الدفاع 
الأميركية خطة لإطلاق هجوم إلكتروني بهدف تجميد الحسابات المصرفية التابعة لصدام 
حسين. وكانت تحتوي تلك الحسابات المصرفية على مليارات الدولارات وكانت تستخدم 
لدفع رواتب أفراد الجيش وشراء اللوازم الأخرى. وفي حال نجاح تلك الهجمات الإلكترونية 
فإنها ستشل قدرة صدام حسين على شن حرب بالأسلحة التقليدية. 

وكما ذكرت صحيفة نيويورك تاهزء فإن المسؤولين المعنيين بتطوير خطط الهجمات 
الإلكترونية كانوا واثقين من قدرتهم على تنفيذ تلك الهجمات إلا أنهم لم يحصلوا على موافقة 
لتنفيذ خططهم. وكان المسؤولون في إدارة الرئيس بوش يخشون من الأضرار الجانبية لتلك 
الهجمات» كالآثار التي قد تحدث على الحسابات التي هلكها الأفراد الآخرونء في حال أن 
أي جزء من الهجوم الإلكتروني م يذهب وفقاً للخطة. وهذا يمكن أن يخلق فوضى مالية في 
جميع أنحاء ca UI C dos le «ell‏ مرو ا ووا فصي الات ا 

كان ذلك Yey ge à‏ ومنذ ذلك الحين تطورت التقنية وأصبحت الحرب الإلكترونية 
بشكل متزايد جزءا من الترسانة العسكرية. وحتى خلال الحرب على العراق في عام ۲٠٠۳‏ 
شمل الهجوم العسكري تعطيل شبكات الهاتف داخل العراق. وهذا أثر بشكل مؤقت في 
خدمات الهاتف المدنية في الدول المجاورة للعراق. ومع ذلك فقد 3e‏ هذا الضرر مقبولاً 
في ذلك الوقت. لكن الضرر غير ا مؤكد للهجمات الإلكترونية والذي يُعتقد أن يكون خارج 
السيطرة م يكن مقبولا. ومنذ ذلك الحين تشعر الولايات المتحدة بالارتياح لاستخدام 
الهجمات الإلكترونية في المستقبل لتحقيق أهدافها كما هو موثق بشكل جيد في حالة 
فايروس (Stuxnet)‏ 


Markoff, J. and Shanker, T. «Halted ‘03 Iraq plan illustrates U.S. fear of cyberwar 
risk,» New York Times, August 1, 2009 


re‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


التهديدات والثغرات الأمنية 


أسئلة على تمرين التفكير النقدى: 

.١‏ ماهي بعض الطرق (وإن كانت غير محتملة) التي يمكن من خلالها للهجوم 
الإلكتروني المقترح على الحسابات المصرفية لصدام حسين أن يضرك؟ 

۲. ما هي بعض الطرق التي يمكن للهجوم الإلكتروني على هدف عسكري أن يضر المدنيين؟ 

Y‏ أحد القيود العسكرية المنبثق عن اتفاقيات جينيف وميثاق الأمم المتحدة يسمى 
الملاءمة (proportionality)‏ ويقصد به تلاؤم العقاب مع الجرهة. وبأخذ مخاطر 
الهجمات الإلكترونية التي تم تحديدها في الأسئلة السابقة بعين الاعتبارء هل تعتقد 
أنه من المرجح أن تسبب الهجمات الإلكترونية ضرراً غير Us‏ للمدنيين أكثر من 
الأسلحة التقليدية؟ 


تصميم حالة: 

لدى مكتب الدعم الفني في كلية الهندسة في ولاية الشمس المشرقة امتيازات خاصة 
الدخول العادية. 

وقد تتساءل كيف حدث هذا؟ قبل سنوات كان أحد أساتذة الهندسة الكهربائية, 
والذي يحظى باحترام كبير في AII‏ غير قادر على إرسال طلب منحة لأنه أقفل حسابه 
الرسمي بالخطأ خلال عطلة نهاية الأسبوع. وأدى ذلك إلى الحزن الشديد لعميد الكلية 
ورئيس القسم. وكحل «مؤقت» لهذه المشكلة منح الطلاب العاملون في مكتب الدعم 
الفني امتيازات مسؤول النظام لمجال شبكة (كلية الهندسة) حتى يتمكنوا من تغيير كلمات 
المرور وفتح الحسابات دون إزعاج أعضاء هيئة التدريس والموظفين. 

dag‏ وات ipaa la pol‏ :ف Jod)‏ اوفع خلا Ulo‏ واضح مع اخ 
يتوقعون استجابة سريعة خلال عطلة نهاية الأسبوع. 

وفي صباح أحد أيام السبت» قرر آدم» وهو طالب جديد يعمل في مكتب الدعم الفني» 
cuu‏ برنامج (BitTorrent)‏ وهو أمر يخالف سياسية الكلية. وفي وقت لاحق من ذلك 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات ro‏ 


الفصل السادس 


الأسبوع g‏ تحقيق بسبب بطء أجهزة الحاسب الآلي. وأدى ذلك التحقيق إلى اكتشاف 
تركيب الروبوت الشبكي (botnet)‏ في معظم أجهزة الحاسب الآلي في الكلية. وبعد ell‏ من 
التحقيق تم اكتشاف مصدر تثبيت الروبوت الإلكتروني عندما تم العثور على مسجل مفاتيح 
(keylogger)‏ في الجهاز الذي يستخدمه آدم. وقد قام آدم دون قصد بتثبيت برامج ضارة 
على الجهاز أثناء تثبيته لبرنامج (BitTorrent)‏ كما أن مسجل اطفاتيح قد التقط بيانات 
اعتماد حساب آدم. 


وقد طلب منك عميد الكلية أن تكتب تقريراً عن هذا الحادث وتضعه على مكتبه في 
أسرع وقت ممكن بحيث يتضمن التقرير توصيات تمنع مثل هذه الحوادث في المستقبل. 
أسئلة على تصميم الحالة الأمنية: 
.١‏ اذكر التهديدات والثغرات التي سمحت لهذه ال مشكلة بالحدوث. 
۲. قم بتصنيف جميع الأحداث التي وجدتها في )١(‏ أعلاه Le‏ في ذلك: 
٠‏ الأصول المتأثرة ما في ذلك تصنيف الأصول وتحديد خصائصها. 
٠‏ وسيط التهديد Le)‏ في ذلك الداخلي والخارجي والشريك). 
٠‏ نشاط التهديد (كالنوع). 
٠‏ الثغرة ا مستخدمة. 
. ما التوصيات التي ستقدمها للعميد للتغلب على هذه المشكلة في المستقبل؟ 


.٤‏ في رأيك ما الذي ينبغي القيام به مع آدم وهو الطالب الذي تم تعيينه مؤخراً في 
مكتب الدعم الفني؟ 


v"‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


الفصل السابع 


ضوابط التشفير 
نظرة عامة: 
ael ga i ad‏ كنات ل الأناسية اللستخدمة ن محال Sheet‏ 
am‏ يساعد ee p‏ الحفاظ على i‏ للع وكام ومن e E‏ 
العمليات Acsi‏ التي e‏ إجراؤها عبر الإنترنت puc‏ التشفر E‏ على 0 
امعلومات. ويضمن التشفير أن امعلومات AJU‏ مثل أرقام بطاقات الائتمان» ا مرسلة عبر 
شبكة الإنترنت لا يتم سرقتها أثناء عملية النقل. وف كثير من الحالات فإن التشفير ليس أمرا 


مناسبا فقط بل هو أمر مطلوب بموجب القانون الفيدرالي. لذا فإن التشفير جزء أساسي من 
البنية التحتية التجارية الحديثة. وفي هذا الفصل سنقدم أساسيات تقنيات التشفير. كما 


سنناقش التحديات التشغيلية التي تواجه تطبيق التشفير والحلول التي وضعت مواجهة 
هذه التحديات. وفي نهاية هذا الفصل يجب أن تعرف: 

٠‏ أنواع التشفير الثلاثة الأكثر شيوعاً واستخداماتها المناسبة. 

٠‏ معايير التطبيق العملية لتقنيات التشفير المستخدمة في تبادل المعلومات. 

o‏ استخدام البديل لتقنيات التشفير وذلك للتحقق من الهويات على شكل تصديقات. 

٠‏ البنية التحتية للمفتاح العام (PKI)‏ والتي تم تطويرها لجعل التشفير عملية مناسبة وعملية. 
مقدمة: 

ماذا نتوقع عندما نقوم بإرسال ال معلومات عبر الإنترنت؟ بالتأكيد نريد أن تصل 
المعلومات إلى الشخص المرسل إليه". لكن هل ذلك يكفي؟ ماذا إذا كانت الرسالة: 
«ليس لدي ال مال لدفع فاتورة الرسوم الدراسية لهذا الفصل الدراسي. يرجى تحويل ٠‏ 
دولار لحسابي الجاري رقم («Y V9)‏ في الاتحاد الائتمانيء ورقم التوجيه ا مصرفي هو 
(1716071/89). وفي حال وجود أي صعوبة فإن كلمة السر هي «(hello123)‏ 
)١(‏ للاطلاع على معلومات تمهيدية حول كيفية إرسال المعلومات وتلقيها على الشبكات الحاسوبية انظر الملحق. 


أمن المعلومات وإدارة مخاطر تقنية المعلومات PV‏ 





الفصل السابع 


في ble‏ أمن المعلومات من الشائع استخدام أسماء أليس (Alice)‏ وبوب (Bob)‏ على 
أنهما المرسل وامستقبل للرسائل وذلك عند مناقشة الاتصالات الآمنة'". في مثالنا السابق 
افترض أن أليس (Alice)‏ تريد إرسال الرسالة لبوب (Bob)‏ ما المميزات التي ترغب 
فيها أليس (Alice)‏ في هذا التواصل؟ Ya‏ ترغب أليس (Alice)‏ أن تصل الرسالة لبوب 
Lob (Bob)‏ قد ترغب أليس (Alice)‏ أن يكون بوب (Bob)‏ هو الشخص الوحيد الذي 
يفهم الرسالة حتى لو تمكن صديقاتها من رؤية أو سماع المحادثة. (وبالنتيجة. من يرغب 
أن يعلم أصدقاؤه بأنه مفلس؟). وعند استلام الرسالة فمن المرجح أن يريد بوب (Bob)‏ 
lus‏ أن Cisl 2 cal‏ من اليس d (Alice)‏ مى بوت deda (Bob)‏ كأ كيد 
أن محتويات الرسالة صحيحة. وفي الواقع فإن التشفير لا يقوم بإرسال الرسالة بل يعطينا 
كل الميزات ال مطلوبة في التواصل بين ليس (Alice)‏ وبوب .(Bob)‏ وبالاقتباس من أحد 
الإعلانات التجارية المشهورةء هناك أشياء لا يستطيع أمن المعلومات القيام بهاء ولهذه 
الأشياء يوجد التشفير. 

وعلى مستوى Ule‏ من التوضيح» فإن التشفير يحول الرسالة إلى شكل يتمكن من خلاله 
مستقبل الرسالة فقط من فك الشفرة مما يوفر السرية. وأثناء فك الشفرة فإن مُستقبل 
الرسالة يستطيع اكتشاف إذا e‏ تعديل الرسالة أثناء الإرسال مما يضمن تكامل الرسالة. 
ولأن التشفير مفيد [a‏ فإنه پستخدم à‏ أمن المعلومات بشكل مناظر لاستخدام السكين 
المتعددة الأغراض المعروفة بسكين الجيش السويسري. وإذا کان امن الكلومات سمه à‏ 
O8 le papa‏ هناك Maze!‏ كر alas ob‏ العقفر Lag]‏ متضفنة يشكل أو باغ 


أساسيات الت ف : 

يتم التشفير من خلال ele‏ التشفير .(cryptography)‏ وكلمة (cryptography)‏ هي 
كلمة مركبة تتكون من كلمتين يونانية الأصل: الأولى (crypto) (KQUnTo)‏ وتعني مخفي 
والثاني ([06001م17) (graphy)‏ وتعني الكتابة (cryptography) s‏ تعني الكتابة الخفية. 
(Y)‏ ويدعي موقع ويكيبيديا (Wikipedia)‏ أن هذه الأسماء تم استخدامها لأول مرة من قبل رون ريفست 


(Ron Rivest)‏ في دراسته التي تناقش بروتوكول التشفير الذي يحمل اسمه (RSA protocol)‏ وسنتحدث بتفصيل 
أكبر عن هذا البروتوكول في وقت لاحق في هذا الفصل .(https;//en.wikipedia.org/wiki/Alice and. Bob)‏ 
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ووفقاً لقاموس مصطلحات (ATIS telecom)‏ وهو المصدر ا موحد للتعريفات في هذا 
الكتاب» فإن التشفير (encryption)‏ يعرف بأنه الكتابة السرية للبيانات (cryptography)‏ 
وتحويلها لإنتاج نص مشفر (ciphertext)‏ ويقدم UJ‏ هذا التعريف مصطلحين جديدين 
هما: (ciphertext) g (cryptography)‏ لقد ناقشنا فيما سبق أن (cryptography)‏ تعني 
الكتابة الخفية. وبشكل رسمي أكثر واعتماداً على قاموس مصطلحات OS (ATIS telecom)‏ 
تعريف (cryptography)‏ بأنها الفن أو العلم الذي يقوم بتسليم معلومات لا يمكن فهمها مع 
إمكانية استعادة المعلومات المشفرة في شكل مفهوم. أما (ciphertext)‏ فتعني النص المشفر 
غير المفهوم للقارئ. واشتقاق كلمة (ciphertext)‏ يستند إلى الكلمة العربية صفر (cifr)‏ 
والتي تعني لا شيء. وفي وقت لاحق استخدمت كلمة (cifr)‏ لتمثيل الرقم .)٠(‏ وعند الطرف 
المستقبل للرسالة فإن فك التشفير (decryption)‏ يستخدم لحل رموز (decipher)‏ النص 
الخفي. 

وجميع هذه الأنشطة موضحة في الشكل (V-V)‏ والذي يعرض العملية الشاملة للتواصل 
الآمن بين أليس (Alice)‏ وبوب (Bob)‏ 

ومن المفيد أن نتذكر أن التشفير يمكنه القيام بالكثير. فكما أن آلة قطع المسامير ستكسر 
أي OB «a‏ المستخدم الذي يكون على استعداد لمُشاركة كلمة المرور الخاصة به مع 
الآخرين سيؤثر بدوره في أي نظام تشفير. 


الشكل :(3-V)‏ التشفير وفك التشفير في سياق التواصل بين المرسل والمستقبل 
? 2؟ 
N^‏ 

[gas 

CE اكت‎ 

QA ze 
النص المشفر‎ u نص‎ 


نص عادي 








(Y)‏ هل تفهم الآن اشتقاق هذه الكلمة؟ كلمة (De-cipher)‏ أو (de-zerofy)‏ تعني تحويل الرسالة التي تبدو دون 
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لنشأة: 

أول حالة موثقة لعملية تشفير كانت للإمبراطور الروماني يوليوس قيصر ٠٠١(‏ قبل MLI‏ 
ét-‏ قبل الميلاد). ويوضح الشكل (Y-V)‏ مقتطفاً من العمل المترجم الذي يصف أسلوب 
التشفير المتبع PIT‏ ومن ثم «إذا كان هناك حالة تتطلب السرية فإنه كان يستخدم 
الحروف الأبجدية بطريقة لا يُفهم منها ولا كلمة واحدة. وكانت الطريقة لفك تلك الرسائل 
من خلال استبدال الحرف (d)‏ بالحرف (a)‏ وكذلك الحروف الأخرى على التوالي». 
JS JI‏ (۲-۷): مرجع شفرة قيصر 


JULIUS CASAR. 47 


befure him: for they are diftinguifhed into pages in the 
form of a pocket-book ; whereas the Confuls and Generals, 
till then, ufed conftantly in their letters to cootinoc tbe 
line quite acrofs the fheet, without any folding or diftiac- 
tion of pages. There are extant likewife fome letters 
from him to Cicero, and others to bis friends concerning 

«efti affairs; in which, if there was occafion for 
fccrefy, he ufed the alphabet in fuch a manner, that noc a 
lc word could be made out. The way to decipher 
piftles was to fub(titute d for a, and fo of the other 
leucrs refpeCtively. Some things likewife país under 
his name, fsid to have been written by him when a 
boy, or a very young man; as the Encomium of Her- 
les, a tragedy entitled CEdipus, and a collection of 
shezms; all which Auguftus forbid to be pub- 
hibed, in a fhort and plain letter to Pompeius Macer, 


















Apo 


whom he had appointed to dire& the arrangement of 
his libraries. 


LVII. He was a perfect mafter of his wespons, a come 
plete borfeman, and able to endure fatigue beyond all be- 
lief. Upon a march, he لمان‎ to go at the head of his 
troopt, fometimes on bhorfeback, bot oftener on foot, 
with his head bare in all kinds of weather. He would 
travel in a poft-chaife at tbe rate of a hundred miles a day. 
ond pafs rivers in his way by fwimming, or fupportcd 
with jesthern bags filed with wind, fo that he often 
prevented all intelligence of his approach. 


LVIIL In his expeditions, it is dif&cult to fay whe- 
ther his caution or boldncfs was moft confpicuous. Hc ne- 
ver marched bis army by a rout which was liable to any 
yrebofh of the enemy, without having previoufiv exa 
the fizuation of the places by his fcouts. Nor did hz كدم‎ 








وهكذا فإنه في شفرة قيصر يتم استبدال كل حرف بالحرف الذي يليه بثلاثة أماكن 
إلى اليمين تبعا لترتيب الحروف الأبجدية. ومن ثم فإن A) 8 (D)«B) 8 )8(.....))0( B)‏ 
B (Z)4X) B (A)(Y) f$ (B)((Z) B (C‏ (1(.....)117)). وق حين يستخدم قيصر الاستبدال 
Alexander Thomson, M.D. (M.DCC.XCVI (1796)). The lives of the first 12 Caesars, translated‏ )4( 


from the Latin of C. Suetonius Tranquillus: with annotations and a review of the government 


and literature of the different periods. London, U.K., G.G. and J. Robinson, Paternoster-Row 
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بناء على ثلاثة أحرف لليمين» بإمكاننا بسهولة استخدام استبدال آخر. على سبيل JUL‏ 
الاستبدال بناء على أربعة أحرف لليمين سيعطينا نظاما للتشفير مثل (A) B (E)(B) B (E)‏ 
وهذا JULI‏ المبسط يوضح مفهوماً في غاية الأهمية في التشفير ألا وهو مفهوم المفاتيح. 
وفيما بعد سنتكلم عن المفاتيح وأهميتها. 
وفي الواقع يمكن تعميم الطريقة أبعد من ذلك. فالحروف ليس من الضروري استبدالها 
بنفس عدد الأماكن لأن تعيين حرف معين إلى حرف آخر سيعمل كنظام للتشفير. على سبيل 
(A) B (H):(B) ff (X): (C) 8 (B) «JULI‏ سیکون أيضا فعالا. وفي الواقع فإن نظام التشفير 


القائم على استبدال حروف منفردة بحروف أخرى بهدف التشفير يعرف à‏ أدبيات الأمن 
بالاستبدال الأحادي الأبجدي .(mono-alphabetic substitution)‏ 


يوضح هذا المثال لبنة مهمة E‏ من لبنات العديد من تقنيات التشفير وهي الاستبدال 
(substitution)‏ وسنوضح e‏ كيفية استخدام الاستبدال في تقنيات التشفير الحديثة. 


في حين Ob‏ التشفير يضمن سرية البيانات إلا أن تلك السرية لا تكون مرغوباً فيها دائماً. فهناك برمجيات خبيثة 
تستخدم حاليا لتشفير بيانات الحاسب الآلي وتبقيها مشفرة حتى يتم دفع مبلغ مالي إلى قراصنة الحاسب. وهذا 
النوع من البرمجيات الضارة يُسمى ببرمجيات الفدية .(ransomware)‏ ويشكل التشفير مشكلة لخبراء الأمن 


المشاركين في الأدلة الجنائية للبيانات وذلك لأن التشفير يحجب تفاصيل الحادث الأمني. كما أن التشفير يعيق 
استخدام جدران الحماية النارية (firewalls)‏ وأجهزة الشبكة الأخرى بناءً على التدقيق العميق لحزم البيانات 
من أجل السماح بتدفق بيانات محددة أو منعها. وإذا كانت البيانات الموجودة في الحزمة مشفرة فإنه لا هكن 
تدقيقها. 





تحليل متطلبات التشفير: 

ما المتطلبات التي يجب أن تتوافر في التشفير الجيد؟ بصفة عامة تشترك تقنيات التشفير 
في العديد من الخصائص مع الأقفال امادية للأبوابء وتقنيات التشفير الجيدة مماثلة للأقفال 
الجيدة في ee‏ كثيرة. ماذا نتوقع في الأقفال الجيدة؟ ل نتوقع أن تكون سهلة الاستخدام 
لأصحابها. LÈ‏ نتوقع أن تكون صعبة الكسر للدخلاء. وفي حين أن معظم الأقفال يمكن في 
نهاية المطاف كسرهاء إلا أن الأقفال تحتاج ba]‏ ال أن stes‏ "وفنا ظويلا us‏ ما يلقت 
انتباه ا متفرجين» وإما إلى أن تكون مكلفة للغاية للكسر لكي تستحق كل هذا الجهد. 
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وتشترك تقنيات التشفير الجيدة أيضاً في هذه الخصائص. ونتوقع أن تكون تقنية 
التشفير الجيدة سهلة الاستخدام لمرسلي ومستقبلي المعلومات المصرح لهم. كما نتوقع أن 
المستخدمين غير ا مصرح لهم سيأخذون الكثير من الوقت لكسر التشفير بحيث أنهم إما أن 
يستسلموا أو أن تلاحظ أفعالهم قبل أن ينجحوا. 

وفي مجال أمن المعلومات يتم قياس الجهد من حيث المتطلبات الحسابية حيث يتطلب 
نظام التشفير الجيد الحد الأدنى من الحسابات من قبل المستخدمين المصرح لهم بقراءة 
وكتابة البيانات» ولكن في الوقت نفسه يتطلب من ال مستخدمين غير المصرح لهم عدد كبير 
ومستحيل من العمليات الحسابية. 


ويجب أن يهتم مبتكرو تقنيات التشفير بحقيقة أن المتسللين يمكن أن يكونوا 
أذكياء جداً في محاولتهم لكسر أنظمة التشفير. ويُطلق على فن كسر النص المشفر 
«تحليل الشفرات» (cryptanalysis)‏ على سبيل JULI‏ في حال uel‏ الاستبدال 
الأحادي الأبجدي (mono: alphabetic substitution)‏ اعتمادا على الأبجدية 
الإنجليزية, مکننا استخدام حقيقة أن بعض الحروف 6 أكثر شيوعاً من غيرها 
(e>t>a>I>0>n>s>h>r>d>l>u SLi)‏ وذلك لتخمين نظام التشفير 
ببساطة من خلال عد الحروف وتردداتها النسبية. وبهذه ال معرفة تشير التقديرات إلى أنه 
يمكن کسر نظام الاستبدال الأحادي بمجموعة من dii ea es‏ وإذا تم تخمين 
الكلمات المحتملة ستحتاج ققط إلى +16 حرفا.. وقد يُحاول |كهاجمون إرسال .فض dsl‏ 
لمعرفة كيف يعمل التشفير. على سبيل «JE‏ إرسال (BAT)‏ و (CAT)‏ هكن أن يشير 
إلى كيفية أن التغيير في حرف واحد في النص يؤثر في مخرجات التش فير مما يعطي بعض 
التلميحات لكسر نظام التشفير. 
المفاتيح: 
كما أنه ليس من السهل التوصل لأقفال تكون سهلة واقتصادية للمستخدمين ا مرخص 
لهم وفي الوقت ذاته صعبة الكسر للمستخدمين غير المرخص «ea‏ فإنه ليس من السهل 
كذلك التوصل إلى تقنيات تش فير بخصائص مماثلة. وبالنظر في محيطناء كم عدد الأنواع 
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المختلفة للأقفال حولنا؟ هناك أقفال بمفاتيح, وأقفال مدمجة. وأقفال بيومترية» وربما بعض 
الأنواع الأخرى من الأقفال. odas‏ بعض أنواع الأقفال المستخدمة لتأمين جميع الأبواب 
والخزائن في العام. وال Las; ol‏ من تقنيات التشفير تؤمن جميع المعلومات في العام. 

وبالعودة إلى مثال الأقفالء فإذا كان هناك بعض من أنواع الأقفال الجيدة» كيف ممكننا 
استخدام نفس نوع القفل لتأمين جميع ا منازل في الحي؟ وبالنتيجة فإنه ليس من المفيد أن 
تكون طريقة فتح باب واحد تؤدي لفتح جميع الأبواب في الحي. وهذا يقودنا إلى «ob‏ 
معنى أن الأقفال تكون مُميّزة من خلال مفاتيحها. أي أن المفتاح الذي يفتح قفلا معينا 
ulis Lotes das‏ القفل. 


التشابه بين التشفير ونوع القفل يدعى خوارزمية التشفير (cryptographic algorithm)‏ 
أو اختصاراً خوارزمية. وخوارزمية التشفير هي تسلسل من الخطوات المستخدمة وال محددة 
بشكل جيد لوصف عمليات التشفير. وعموماً سنطلق عليهم «خوارزميات». وحتى OI‏ 
قد تم اكتشاف بعض الخوارزميات الجيدة والتي تحتوي على كل الخصائص المرغوب 
فيها. وتّعد كل حالة من حالات الخوارزمية المختارة فريدة من خلال مجموعة من الأرقام 
الفريدة والتي تدعى «مفتاح» (key)‏ وفي سياق التشفير فإن المفتاح سلسلة من الرموز 
التي تتحكم في عمليات تشفير وفك التشفير. والمستخدمون الذين يملكون ا مفتاح الصحيح 
يمكنهم digg ad‏ قادن اللعلوماة ماب وسسفرق :تمي uua] hU‏ وها bsb‏ من 
امتصنتين. 

ما خصائص اللمفتاح الجيد؟ كما ذكرنا مرارا وتكراراء يجب أن يكون المفتاح الجيد 
صعب التخمين. وفي سياق التشفير يتم كسر المفاتيح ببساطة عن طريق استخدام مفاتيح 
مختلفة حتى يتم العثور على المفتاح الصحيح. فإذا استخدمنا مفاتيح من خانة واحدة, 
Def e‏ لديا ١٠‏ مفاتيح ممكنة cs s)‏ 3( وإذا كان :امسلل يتاج إل 436 واحدة 
لتجريب مفتاح واحده فإنه سيحتاج إلى ٠١‏ ثوان لتخمين المفتاح الصحيح. وإذا كانت 
العملية مُكررة عدة مرات» فإن متوسط الوقت سيكون نصف eUS‏ أي © ثوان. وهذا لأنه 
فق بض الأعيان يكون التهمين الأول صخا وق خالات أخرى يكون التغمين Qaa Lad‏ 
يكون صحيحاء وهكذا. ولتحسين الوضع الأمني يمكننا استخدام مفاتيح من خانتين. وهذا 
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يزيد عدد المفاتيح الممكنة إلى .)19-٠( ٠٠١‏ وبنفس المعدل السابق سيحتاج المتسلل إلى 
٠٠‏ ثانية على ASII‏ و00 ثانية في ا متوسط لتخمين المفتاح الصحيح. ولهذا فإن ا مفاتيح 
الأطول تحسن من الوضع الأمني. 

وها أن أجهزة الحاسب الآلي تقوم بحساب وتدقيق مئات الآلاف من المفاتيح في الثانية 
فإن المفاتيح ال مستخدمة في الواقع العملي تتكون من مئات من الخانات. 


الخصائص العامة للخوارزمية: 

تشير متطلبات التشفير في الفقرات السابقة إلى بعض الخصائص الهامة لخوارزميات 
التشفير الجيدة. ويمكن النظر إليها بأنها عملية إدخال المدخلات بطريقة عشوائية. فهيكل 
المدخلات ل (النص العادي) ole‏ يكون في شكل كلمات» sio‏ وثائق» وغيرها. ولقد رأينا 
أن JL aat‏ إذا مكن من تن أي جره مسن الكل OB «oL isi ax! ll‏ هذه 
ا معلومات يمكن استغلالها لفك شفرة النص الذي تم تشفيره. ولذلك فإن على خوارزمية 
التشفير أن تجعل النص ا مشفر يبدو بأنه تسلسل عشوائي كامل من البتات (bits)‏ لكن 
يجب أن تكون العملية العشوائية قابلة للاسترداد للمستخدم الذي هلك المفتاح الصحيح. 

وليست رموز الرسالة الفعلية فقط التي osse‏ اناوه asc obtenez E E‏ 
طول النص المشفر عشوائياً للمتسلل. وإذا لم يكن كذلك فإنه في بعض الحالات قد يتمكن 
المتسلل ببساطة من تخمين محتوى الرسالة من خلال النظر في طول الرسالة والسياق. 
على سبيل المثال» إذا كانت تعرف في حالة معينة أن هناك خيارين للرسائل: نعم أو لا 
وشاهدت الرسالة ا مشفرة التالية (!#8): فإنك لا تحتاج إلى فك شفرة الرسالة ELY‏ ستكون 
على يقين بأن نص الرسالة (نعم). 

di os‏ خاصية أخرى مهمة في الخوارزميات هي أن التغيير في بت واحد (bit)‏ من 
ا مدخلات يجب أن يقابله تغيير كامل في النص المشفر ما V‏ يقل عن تغيير نصف البتات 
(15ط). وهذا سوف هنع المتسلل من محاولة صياغة رسائل انتقائية ومحاولة تخمين نظام 
التشفير من خلال النظر في مخرجات النص ال مشفر. 

عرفنا في هذه المرحلة أن التشفير ينطوي على خوارزمية ومفتاح. كما عرفنا أن هناك 
عضا من الخوارزميات ال مستخدمة Le‏ لتشفير ال معلومات. وهذه الخوارزميات فريدة من 
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نوعها لكل حالة: وهذا التميّز يكون من خلال مفتاح فريد لتلك الحالة. الآن ننتقل إلى 
أنواع الخوارزميات ال مستخدمة وتطبيقاتها. 


نظرة عامة على أنواع التشفير: 

يمكن تصنيف جميع تقنيات التشفير المعروفة dello‏ إلى ثلاثة أنواع حيث يتم 
التصنيف على أساس عدد المفاتيح المستخدمة لتشفير وفك تشفير ا معلومات. ويوضح 
الجدول (V-V)‏ مقارنة سريعة بين أنواع التشفير الثلاثة. وما تبقى من هذا الفصل يناقش 
كل نوع من أنواع التشفير الثلاثة بالتفصيل. 


ومن خلال إلقاء نظرة على الجدول نستطيع القول بأن دوال التجزئة (Hash functions)‏ 
يمكن أن تكون أبسط أنواع التشفير للفهم. وربما يكون ذلك صحيحاء لكن عندما يتحدث 
الناس عن التشفير عادة ما يقصدون استخدام التشفير بالمفتاح السري والتشفير بالمفتاح 
العام. ولذلك سنناقش في الأقسام التالية أولا التشفير بالمفتاح السريء وبعد ذلك سنناقش 
التشفير با مفتاح العام. وسوف نتحدث عن دوال التجزئة في النهاية لأن استخدامها في 
التشفير أقل شيوعا من استخدام نوعي التشغير الآخرين. 


(Secret Key Cryptography) التشفير بالمفتاح السري‎ 

يشير التشفير بالمفتاح السري إلى طرق التشفير التي تستخدم مفتاحاً واحداً لكل من 
التشفير وفك التشفير. ويقدم الشكل (Y-V)‏ محة عامة عن التشفير با مفتاح السري. 

وكما نرى في الشكل فإن السمة الأساسية في التشفير بالمفتاح السري هي استخدام 
المفتاح نفسه لكل من التشفير وفك التشفير. ونتيجة لهذا التماثل في المفاتيح ا لمستخدمة 
في التشفير وفك التشفير. تسمى di b‏ التشفير بالمفتاح السري «التشفير با مفتاح BLAI‏ 
(symmetric key cryptography)‏ أو (symmetric key encryption)‏ 

ويستخدم (التشفير با مفتاح السري) بشكل شائع في نقل ا معلومات بشكل آمن. BE‏ 
اتفق كل من أليس (Alice)‏ وبوب (Bob)‏ على استخدام مفتاح موحد, فإن أليس (Alice)‏ 
تستطيع تشفير معلوماتها بهذا امفتاح كما يستطيع بوب (Bob)‏ فك تشفير ال معلومات 


أمن المعلومات وإدارة مخاطر تقنية المعلومات Yeo‏ 


الفصل السابع 


باستخدام المفتاح نفسه. وبالمثل فإن بإمكان بوب (Bob)‏ تشفير معلوماته بالمفتاح المشترك 
وبإمكان أليس (Alice)‏ كذلك فك تشفير المعلومات باستخدام ال مفتاح المشترك نفسه. 
وستكون ال معلومات آمنة أثناء الإرسال لأن أليس (Alice)‏ وبوب (Bob)‏ فقط يعرفان 
المفتاح» وكما اتفقنا سابقاء فإنه يكاد يكون من اللمستحيل فك تش فير المعلومات المرسلة 
دون معرفة المفتاح. 


الجدول :(V-V)‏ مقارنة بين أنوع التشفير 


دوال التجزئة حماية كلمات امرورء وتدقيق تكامل 
البيانات 


التشفير بالمفتاح العام ضمان الأمن لكل من تبادل المفاتيح, 
والمصادقة؛ والتوقيعات الإلكترونية 


الشكل (۳-۷): dx‏ عامة عن التشفير بالمفتاح السري 
النص المشفر — التشفير س نص عادي 
s‏ 


مفتاح سري مشترك 
4 
النص المشفر ل فك ii‏ في —4 نص عادي 


(Alice) أليس‎ (Bob) بوب‎ 








ويمكن أيضاً استخدام (التشفير بالمفتاح السري) لتأمين المعلومات المحفوظة في أجهزة 
الحاسب الآلي. فإذا أراد بوب (Bob)‏ تأمين بعض المعلوماتء عليه اختيار المفتاح ومن 
ثم تشفير المعلومات المحفوظة في القرص الصلب باستخدام ذلك المفتاح. ولاسترجاع 
المعلومات» على بوب (Bob)‏ أن esi‏ بإدخال المفتاح وفك تشفير المعلومات. وبطبيعة 
Jio‏ إذا نسي بوب (Bob)‏ المفتاح فلن يكون قادراً على استرجاع المعلومات المحفوظة في 
جهاز حاسبه الآلي. 


Ye‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


وامعيار الحالي ل (التشفير بالمفتاح السري) هو معيار التشفير المتقدم Advanced)‏ 
(Encryption Standard‏ وتم اختيار هذا ال معيار من قبل المعهد الوطني للمعايير 
والتقنية (National Institute for Standards and Technology)‏ في شهر نوفمبر من 
عام ٠۲٠١١‏ وذلك بعد عملية اختيار استمرت ما يقارب من 0 سنوات. وقد تم تطوير 
التقنية المستخدمة في (معيار التشفير المتقدم) من قبل اثنين من أخصائيي التشفير من 
بلجيكا. ومن التقنيات السابقة ل (معيار التشفير المتقدم) معيار تشفير البيانات Data)‏ 
«(Encryption Standard‏ وخوارزمية تشفير البيانات الدولية International Data)‏ 
(Encryption Algorithm‏ وهذان المصطلحان من المصطلحات التي قد تواجهها في 
أدبيات أمن المعلومات. وها أن (معيار التشفير المتقدم) هو ا معيار الحالي gl‏ فلن 
نناقش (معيار تشفير البيانات) و(خوارزمية تشغير البيانات الدولية) في الأقسام التالية من 
هذا الكتاب. وسنقدم في القسم التالي لمحة عن التقنية التي تقف وراء (معيار التشفير 
المتقدم). 


التشفير بالمفتاح العام :(Public-key cryptography)‏ 


للتشفير والآخر لفك التشفير. وتستخدم هذه التقنية لاثنين من التطبيقات المختلفة - نقل 
البيانات والتوقيعات الرقمية. ويقدم الشكل (£-V)‏ ممحة dole‏ عن التشفير بالمفتاح العام 
بهدف نقل البيانات. 

وتظهر المقارنة بين الشكل (V-V)‏ والشكل (€-V)‏ أن الميزة الفريدة ل (التشفير بالمفتاح 
العام) هي استخدام مفتاح للتشفير ومفتاح آخر لفك التشفير. وبسبب هذا التفاوت à‏ 
استخدام المفاتيح فإن (التشفير با مفتاح العام) يسمى أيضا «التشفير بالمفتاح غير ا متماثل» 
(asymmetric key encryption)s (asymmetric key cryptography)‏ 


أمن المعلومات وإدارة مخاطر تقنية ال معلومات vev‏ 


الفصل السابع 


وكما سنرى في الأقسام القادمةء وذلك عند مناقشة (التشفير بالمفتاح العام) بمزيد من التفصيلء OB‏ المفتاح 
الخاص با مستقبل يظل سرياً. ولهذا السبب فإنه من الشائع الإشارة إلى المفتاح الخاص با مستقبل بأنه المفتاح 


السري. لكن الباحثين à‏ دراسة (Kaufman et al)‏ يوصون بتوحيد تسمية هذا ال مفتاح ب gal‏ الخاص» à‏ 
مجال أمن ا معلومات» » وتخصيص عبارة «المفتاح السري» للمفتاح السري امشترك والمستخدم à‏ (التشفير بالمفتاح 
السري). واحتراماً لهذه النصيحة سوف نسعى lai‏ إلى تجنب تسمية ال مفتاح الخاص بالمفتاح السري. 





:(€-V) JS JI‏ للحة dole‏ عن التشفير با ممفتاح العام بهدف نقل البيانات 


النص المشفر ج التشفير ‏ ل نص عادي 
1 


ire odi المفتاح العام للمُستقبل (بوب)‎ 
Ice ou. 


المفتاح الخاص للمُستقبل (بوب) 
& نص عادي هج فك التشفير — النص المشفر 


(Bob) بوب‎ 


ما استخدامات التشفير بالمفتاح العام؟ كما سنرى أنه يمكن النظر إلى (التشفير بالمفتاح 
العام) كإصدار ذي شحنة فائقة من (التشفير elo‏ السري). وعلى هذا النحو يمكن ل 
(التشفير با مفتاح العام ليس فقط القيام gb‏ عمل يقوم به (التشفير بالمفتاح السري) بل 
القيام بأكثر من ذلك. إذا لماذا نهتم ب (التشفير باممفتاح السري)؟ 

تبين أن (التشفير بالمفتاح العام) يستنزف الموارد الحاسوبية ويتطلب قدرة معالجة 
حاسوبية تصل إلى ملايين ا cob‏ من تلك المطلوبة ل (التشفير بالمفتاح السري). وسيؤدي 
الاستخدام DIT‏ ل (التشفير gbabb‏ العام) بأسرع الأجهزة الحاسوبية المكتبية إلى التوقف 
شيئا فشيئا. ومن ثم فنحن في الواقع العملي انتقائيون للغاية فيما يخص استخدام (التشفير 
بالمفتاح العام) ونفضل استخدام (التشفير بالمفتاح السري) إلى أقصى حد ممكن. 

الاستخدام الرئيسي ل (التشفير با مفتاح العام) هو تبادل المفاتيح. ففي أثناء مناقشة 
(التشفير بالمفتاح السري) في القسم السابق» هل فكرت في كيفية قيام أليس (Alice)‏ وبوب 


(5) Kaufman, C., R. Perlman and M. Speciner (2002). Network Security: Private Communication in 


a Public World, Prentice-Hall ISBN 0130460192 
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(Bob)‏ بالموافقة على نفس المفتاح السري المشترك؟ رها أنك لاحظت أننا بدأنا بفرضية أن 
أليس (Alice)‏ وبوب (Bob)‏ لديهم مفتاح سري مشترك. وذلك قد يكون ممكناً إذا كان 
أليس (Alice)‏ وبوب (Bob)‏ في مكاتب متجاورة. ولكن ما هو الوضع إذا كان بوب (Bob)‏ 
Jig‏ مزود الخدمة الموجود في مدنية واشنطن العاصمة» وكانت أليس (Alice)‏ تمثل العميل 
الموجود في مدينة تامبا في ولاية فلوريدا؟ هل هناك وسيلة لأليس (Alice)‏ وبوب (Bob)‏ 
للاتفاق على مفتاح سري مشترك دون أن يعرفه أحد؟ الإجابة كلا. وفي الواقع يمكن إثبات أنه 
لا يوجد طريقة هكن الاعتماد lade‏ لأليس (Alice)‏ وبوب (Bob)‏ لتبادل مفتاح سري آمن"' . 

ولأنه ليس هناك وسيلة عادية لأليس (Alice)‏ وبوب (Bob)‏ لتبادل المفتاح السري 
بشكل آمنء فإن (التشفير بالمفتاح العام) يستخدم للقيام بهذه المهمة. وعندما يكون 
أليس (Alice)‏ وبوب (Bob)‏ على استعداد للتواصل dua‏ فإنهم يستخدمون (التشفير 
بالمفتاح العام) لتبادل المفتاح السري. وعندما يتم الاتفاق على المفتاح السريء يتحول أليس 
(Alice)‏ وبوب (Bob)‏ من استخدام (التشفير بالمفتاح العام) ا مستنزف للموارد الحاسوبية 
إلى استخدام (التشفير بالمفتاح السري) الأبسط والأقل استنزافاً للموارد الحاسوبية. 


من المهم أن Sin‏ هذه النقطة حول (التشفير با مفتاح العام) - صاحب اللمفتاح هو الوحيد الذي يعرف المفتاح 


الخاص» ولا يتم مشاركته مع أي شخص آخر. 





الشكل :(0-V)‏ استخدام التشفير با مفتاح العام للتوقيعات الإلكترونية 


الرسالة الموقعة ‏ ج التشفير — نص gde‏ 


المفتاح الخاص للمُرسل (أليس) 


المفتاح العام للمُرسل (أليس) 
1 
نص عادي «- فك التشفير —— الرسالة الموقعة 


(Bob) بوب‎ 


(Alice) اليس‎ 


à (9‏ الأدبيات تمت مناقشة هذا السيناريو على أساس مشكلتين عامتين. وهناك الكثير من المعلومات المتوفرة حول 
هذه المشكلة المعروفة على شبكة الإنترنت. انظر على سبيل JULI‏ المقال التالي موقع ويكيبيدياء 
http://en.wikipedia.org/wiki/Two. Generals?627 Problem‏ 
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أما الاستخدام الثاني ل (التشفير gbabb‏ العام) تأي من العلاقة الفريدة بين المفتاح 
العام والمفتاح الخاص المرتبط به حيث تبين أن تلك المفاتيح توجد في أزواج. لقد رأينا 
أن المعلومات المشفرة باستخدام المفتاح العام يمكن فك تشفيرها بواسطة المفتاح الخاص 
المرتبط بذلك ال مفتاح العام. فك a beso‏ أن صمل La‏ في الاتجاه المعاكس. 
المعلومات المشفرة باستخدام ا مفتاح الخاص يمكن فك تشفيرها بواسطة المفتاح العام 
ا مرتبط بذلك المفتاح الخاص. ويتم استخدام هذه الميزة في مجال أمن المعلومات لإنشاء 
التوقيعات الرقمية. وتعرف التوقيعات الرقمية بأنها تحويلات مشفرة من البيانات تسمح 
مستقبل البيانات بإثبات مصدر البيانات (عدم التنصل) وتكاملها. 

tas فإنه مكنها أيفا أن دمل‎ (Bob) cass I راك‎ (Alice) تسل ليمي‎ uae 
أن يحاول فك شفرة‎ (Bob) مشفرة من الرسالة تتضمن المفتاح الخاص بها. وبإمكان بوب‎ 
بوب‎ OB المعلومات. وإذا كانت النسخة التي تم فك شفرتها توافق المعلومات المرسلة‎ 
هي التي أرسلت ال معلومات وأن الرسالة م يتم تعديلها‎ (Alice) أليس‎ ob على يقين‎ (Bob) 
.)0-( وهي في طريق الإرسال. وتظهر هذه العملية في الشكل‎ 

ويمكن أن يكون (التشفير بالمفتاح العام) hisa‏ للقارئ الذي يقرأ عنه لأول مرة. ومن 
الريك اها أن نرى استخدامين مختلفين لهذه التقنية المحيرة. ولتسهيل التعلم في هذا 
الفصل سنتبع خطوتين مختلفين: الخطوة الأولى هي مقارنة الشكلين (€-V)‏ و(0-۷) وتحديد 
الفروقات الموجودة بينهما. LÍ‏ الخطوة الثانية فستكون في القسم التالي من خلال شرح 
(التشفير بالمفتاح العام) باستخدام مثال. 

Leo‏ ننظر إلى الشكلين (£-V)‏ و(0-۷). 

ما المفاتيح ا مستخدمة à‏ كل حالة؟ لنقل البيانات استخدمنا مفاتيح امُستقبل. وللتوقيعات 
الرقمية استخدمنا مفاتيح dal‏ ولنقل البيانات استخدمنا ا مفتاح العام للتشفير. وللتوقيعات 
الرقمية استخدمنا المفتاح الخاص للتشفيرء والجدول (Y-V)‏ يُلخص ذلك. 

ما الذي يحدث هنا؟ IU‏ الاختلاف في المفاتيح المستخدمة؟ الشيء الضروري الذي يجب 
أن نتذكره بخصوص (التشفير باممفتاح العام) أن المستخدم ممكنه الوصول إلى مفتاح خاص 
واحد وهو المفتاح الذي بملكه. لكن الجميع لديه حق الوصول إلى جميع المفاتيح العامة. 


yo.‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 





وعند نقل البيانات» نرغب في التأكد من أن تلك البيانات لا هكن قراءتها من قبل 
الآخرين أثناء الإرسال. وأفضل طريقة لتحقيق ذلك هي تشفير المعلومات بطريقة يستطيع 
المستقبل فقط من خلالها فك شفرة المعلومات. كيف نفعل ذلك؟ وما الشي الفريد لدى 
المستقبل؟ 

حسناً نحن نعلم أن المستقبل هلك فقط المفتاح الخاص به. كما نعلم أيضاً أننا إذا قمنا 
بتش فير بعض المعلومات باستخدام المفتاح العام «Joli aal)‏ فإن الممُستقبل فقط سيكون 
قادرا على فك شفرة المعلومات باستخدام مفتاحه الخاص. ولحسن الحظ فإن أي شخص في 
العام يمكنه الحصول على المفتاح العام لأي مستخدم. لذلك هذا ما سوف نفعله - تشفير 
المعلومات باستخداء المفتاح العام للمُستقبل ومن ثم إرسالها: وعتذها سيكون المستقبل 
Jai‏ قاور Je‏ )82 االو مات ١ ١‏ 

عند التوقيع على الرسائل OB‏ الخصوصية ليست مصدراً للقلق. على سبيل المثالء يرغب 
بوب (Bob)‏ أن يكون مقتنعاً ob‏ أليس (Alice)‏ هي بالفعل من قامت بإرسال الرسالة" . 
كيف oS‏ لأليس (Alice)‏ القيام بذلك؟ حسناً JS‏ من أليس (Alice)‏ وبوب (Bob)‏ يعلم 
أن فقط أليس (Alice)‏ تملك المفتاح الخاص بها. إذا كانت أليس (Alice)‏ تستطيع إقناع 
بوب (Bob)‏ بطريقة أو بأخرى بأنها بالفعل تمتلك هذا المفتاح» فإن بوب (Bob)‏ سوف 
يقتنع. ولحسن الحظ لدينا طريقة للقيام بذلك. إذا قامت أليس (Alice)‏ بتشفير بعض 
المعلومات باستخدام مفتاحها الخاصء فإن أي شخص في العام يستطيع فك شفرة ا معلومات 
باستخدام مفتاحها العام. وفي الواقع فإن بوب (Bob)‏ يقوم بذلك بالضبط. وإذا نجح فإنه 


(V)‏ افترض أنك تلقيت عرضاً للعمل من البيت الأبيض بدون دعوة سابقة. كيف يمكنك أن تكون على قناعة بأن ذلك 
العرض حقيقي؟ 


أمن المعلومات وإدارة مخاطر تقنية المعلومات Yo‏ 





الفصل السابع 


سيكون مقتنعاً بأن أليس (Alice)‏ تملك المفتاح الخاص الذي يُفترض أن يكون لديها. ولأنه 
لا أحد في العام يجب أن يكون لديه المفتاح الخاص بأليس (Alice)‏ فإن الرسالة يجب أن 
تكون أرسلت من أليس (Alice)‏ ومن ثم olè‏ المفتاح العام يعمل مثابة توقيع رقمي. 

الطريقة التي يتم بها استخدام التوقيعات الرقمية في الواقع العملي تعطي ميزة إضافية. 
ما الرسالة التي يجب أن تقوم أليس (Alice)‏ بتشفيرها وإرسالها إلى بوب (Bob)‏ لإقناعه 
بهويتها؟ نحن نقوم بتشفير الرسالةء وبهذه الطريقة إذا استطاع بوب (Bob)‏ أن يفك 
الشفرة بنجاح سيقتنع بأن الرسالة ليست فقط أرسلت من أليس (Alice)‏ بل سيتأكد أيضاً 
أن الرسالة لم Js‏ عليها في أثناء الإرسال. 


لقد تم تبسيط النقاش أعلاه بالمقارنة مع ما يحدث في الواقع. وقد تم ذلك التبسيط لأغراض تعليمية. وفي 
الواقع العملي لسنا بحاجة لتشفير الرسالة بالكامل. نحن بحاجة فقط لتشفير دالة التجزئة (hash function)‏ 
الخاصة بالرسالة. وسنناقش دوال التجزئة في القسم JEI‏ كما سنعيد النظر في هذا الموضوع في نهاية مناقشة 
دوال التجزئة. 


ويمكن أنك فكرت في السؤال التالي: كيف يمكن لأليس (Alice)‏ الحفاظ على سرية الرسالة خلال إرسال البيانات 
إذا كان أي شخص يستطيع فك شفرة الرسالة باستخدام المفتاح العام الخاص بأليس (Alice)‏ سؤال رائع. لا 
تستطيع أليس (Alice)‏ القيام بذلك. ومن ثم OB‏ ما نقوم به هو إرسال الرسالة باستخدام تقنية إرسال البيانات 
التي تم نقاشها أعلاهء ورسل أيضاً توقيع رقمي جنباً إلى جنب مع الرسالة لتأكيد أن الرسالة أرسلت بالفعل من 
أليس (Alice)‏ 





وتسمى التقنية الحالية المستخدمة لتنفيذ (التشفير بالمفتاح العام) ب (854). وسُميت 
هذه التقنية بأسماء العلماء الثلاثة الذين أنشؤوا هذه التقنية وهم: رون ريفست Ron)‏ 
«(Rivest‏ وآدي شمير (Adi Shamir)‏ وليونارد أديلمان (Leonard Adleman)‏ وتم 
شرح هذه التقنية في دراسة نشرت في عام ۱۹۷۷ P‏ 


(8) Rivest, R. Shamir, A. and Adleman, L. «A method for obtaining digital signatures and public- 
key cryptosystems.» Communications of the ACM, 1978, 21(2): 120-126. (The first few pages of 
the paper should be very interesting for an undergraduate student - the opening line talks about 
email in future tense.) The paper is also available at http://people.csail.mit.edu/rivest/Rsapaper. 


pdf (accessed: 10/19/2012). 
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:(Hash functions) دوال التجزئة‎ 


تشير دوال التجزئة إلى طرق التشفير التي لا تستخدم مفاتيح. وتسمى هذه الدوال 
كنا تحولات الاتجاه الواحد (one-way transformations)‏ لأنه Y‏ توجد وسيلة لاسترداد 
الرسالة المشفرة باستخدام دالة التجزئة. وهذا يجعل القارئ يبدي علامات الحيرة. BU‏ 
نهتم بتقنية تشفير إذا كانت لا تسمح أبدا بقراءة البيانات مرة أخرى؟ كما اتضح أن هذه 
التقنية في الواقع مفيدة جداً وأنك في الحقيقية تستخدم هذه الخاصية منذ استخدامك 
لأجهزة الحاسب „JYI‏ 


دوال التجزئة تأخذ الرسائل مهما كان طولها وتقوم بتحويلها إلى أرقام ذات طول ثابت» 
ويكون طولها عادة WA‏ أو YOT‏ بت (bit)‏ فعند التحويل يكون طول دالة التجزئة للرقم 
)€( هو نفسه طول دالة التجزئة لبيانات القرص المتعدد الاستخدامات الرقمي (DVD)‏ 
كاملاً. وتستخدم دوال التجزئة مع كلمات المرورء وسنرى كيف يكون ذلك في الفقرة AJLI‏ 
وفي الوقت الحالي قد يكون تمريناً مناسباً لك أن تفكر كيف تكون دوال التجزئة مفيدة مع 
كلمات 3951 

تحتفظ أجهزة الحاسب الآلي بكلمات المرور نتيجة لتحويل دوال التجزئة بدلاً من حفظ 
القيم الحقيقية لكلمات المرور. وبهذه الطريقة لا يمكن استرداد كلمات المرور حتى في حال 
سرقة جهاز الحاسب الآلي. فعندما يقوم المستخدم بإدخال كلمة المرور الخاصة «à‏ فإن 
جهاز الحاسب الآلي يحسب دالة التجزئة لكلمة المرور ويقارنها مع دالة التجزئة ا محفوظة 
في جهاز الحاسب الآلي. وإذا تطابقت الاثنتان فإن جهاز الحاسب الآلي يقبل كلمة المرور 
المدخلة وإلا فإنه يرفضها. وبهذه الطريقة فإن دوال التجزئة تسمح لأجهزة الحاسب الآلي 
بالتحقق من كلمات المرور دون حفظ نسخة من كلمات ال مرور نفسها. 


كلمات سر دوال التجزئة لا تزال عرضة لهجمات القوة الغاشمة (brute-force attack)‏ وهجمات القاموس 
(dictionary attack)‏ كما سنرى ذلك في الفصل الثامن. فإذا اختار ا مستخدم كلمة مرور «diis‏ فإنه من 


الممكن تخمينها بسهولة. وتقوم دوال التجزئة بحجب كلمات المرور لكنها لا هكن أن تمنع أحداً من أن يقوم 
بتخمين كلمات Al‏ 25 تلك. 
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الفصل السابع 


والاستخدام الآخر لكلمات 5 هو التحقق من تكامل المعلومات. فإذا أرسل TNT‏ 
dos dL adi‏ انها دالة diea‏ يستطيع Jis a‏ بشكل مستقل حساب دالة التجزئة 
للرمالة ومقازفنيا بدالة الفح اة وعد تطايق الدالتين فإن المستقيل يتأكد من 
أن الرسالة م يتم تعديلها أثناء الإرسال. وعند استخدام دوال التجزئة بهذه الطريقة فإئه 
Ule äh;‏ خاصية المجموع الاختياري .(checksums)‏ والمجموع الاختياري هو قيمة 
يتم حسابها بناء على البيانات بهدف كشف الأخطاء أو كشف التلاعب في البيانات في أثناء 
الإرسال. 

ونرى هذا عادة أثناء تحميل البيانات حيث يوفر موردي البرمجيات خاصية ال مجموع 
الاختياري لتحميل برمجياتهم بهدف مساعدة مسؤولي النظم على التحقق من أن البرنامج 
تم تحميله دون أخطاء. ويوضح الشكل (1-V)‏ مثالاً من موقع التحميل لخوادم تطبيقات 
شركة آي في (IBM Application Servers) el‏ 


الشكل (1-۷): مثال على خاصية المجموع الاختياري 


€ © 8 [ publib.boulder ibm.com 





ودوال التجزئة الأكثر استخداماً وشيوعاً هما دالة (MDo)‏ ودالة .(Y-SHA)‏ وتمثل دالة 
(MDO)‏ «خوارزميات خلاصة الرسالة» .(message digest algorithms)‏ وقد استخدمت 
هذه الدالة عالمياً منذ تطويرها في عام ١195من‏ قبل رون ريفست (Ron Rivest)‏ (وهو 
نفسه الذي شارك في تطوير بروتوكول (RSA‏ لكن تم اكتشاف مجموعة من العيوب في 
الخوارزميةء ومن ثم O‏ استخدامها في تطبيقات التشفير لم يلق تشجيعا رسمياً منذ YA‏ 
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ديسمبر من عام 7٠١8‏ . ومع ذلك لا تزال هذه الدالة شائعة الاستخدام في التطبيقات 
ا منخفضة ال مخاطر مثل التحقق من تحميل البرمجيات. 

secure hash) فهي تمثل «خوارزمية دالة التجزئة الآمنة»‎ (Y-SHA) دالة‎ Cal 
إلى الإصدار الثاني من الخوارزمية. وقد تم تطوير هذه‎ (Y) ويرمز الرقم‎ «(algorithm 
National Institute of Standards) الخوارزمية من قبل المعهد الوطني للمعايير والتقنية‎ 
وعلى الرغم من عدم وجود ثغرات‎ .Y** Y وتم إصدارها في عام‎ (and Technology 
كان في الثاني‎ (Y-SHA) أمنية معروفة لهذه الخوارزمية إلا أن الإصدار التالي لهذه الدالة‎ 
وكان الدافع لتطوير الجيل التالي لدالة التجزئة قبل وجود‎ Y «VY من أكتوبر من عام‎ 
(Y-SHA) حاجة واضحة لذلك هو البقاء على استعداد في حال حدوث هجوم ضد دالة‎ 
لذلك فمن المستبعد‎ (Y-SHA) خوارزمية مختلفة تماما مقارنة ب‎ (Y-SHA) وتستخدم دالة‎ 
-SHA) أن يكون قادرا على اختراق دالة‎ (Y-SHA) جدا أن الهجوم الذي يخترق دالة‎ 
على‎ Flo (Y-SHA) أو دالة‎ (Y-SHA) ولدى المطورين الآن الخيار في استخدام دالة‎ (Y 
احتياجاتهم.‎ 


تفاصيل أنواع التشفير: 
قدّم القسم السابق لمحة عامة عن أنواع التشفير الثلاثة واستخداماتها. وفي هذا القسم 
سننظر بمزيد من التفصيل في التقنيات الأولية المستخدمة في كل نوع من أنواع التشفير. 


التشفير بالمفتاح السري (Secret Key Cryptography)‏ 
يتكون التش فير بالمفتاح السري من إجراءين: تش فير ا مجموعات وتسلسل تش فير 
المجموعات. ويتطلب تشفر الرسائل الكبيرة ذات الحجم غير ا محدد موارد حاسوبية 
هائلة تفوق قدرات معظم أجهزة الحاسب الآلي للمستخدم النهاني» ومن ثم يتم Yoj‏ 
الرسائل إلى أحجام معقولة تمنح مزيجا من الأداء والأمان. ويّنظر إلى تشفير المجموعات 
http://www.kb.cert.org/vuls/id/836068‏ )9( 


(10) http://csrc.nist.gov/groups/ST/hash/sha-3/index.html 
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الفصل السابع 


بأنه عملية تحويل مجموعات النص العادي إلى مجموعات مشفرة. ومعظم خوارزميات 
التشفير التجارية تستخدم مجموعات ٠٤‏ أو WA‏ بت (es (bit)‏ وجه الخصوص OB‏ 
المعيار الحالي لتشفير المفتاح السري (AES)‏ يستخدم مجموعات WA‏ بت (bit)‏ 


تشفير المجموعات :(Block Encryption)‏ 
بشكل عام محم تشفير ال مجموعات [PT‏ من النشاطين التاليين: الاستبدال 
والإحلال. لقد رأينا مثالا على (الاستبدال) سابقا في هذا الفصل: شفرة قيصر والاستبدال 
الأحادي الأبجدي .(mono-alphabetic substitution)‏ وف سياق التشفير بالمفتاح السري, 
يحدد (الاستبدال) مخرجات ٠٠٠١‏ بت (k-bit)‏ لكل ٠٠٠١‏ بت (k-bit)‏ من المدخلات. 
أما (الإحلال) فيحدد مكان المخرجات لكل ٠٠٠١‏ بت من المدخلات. ويعد (الإحلال) 
حالة خاصة من الاستبدال لأن كل بت (bit)‏ من المدخلات تستبدل بت (bit)‏ محدد من 

المخرجات. ويوضح الشكل (V-V)‏ العملية العامة لتشفير ا مجموعات. 

DES technology) البيانات‎ phis والمستند إلى تقنية معيار‎ (V-V) الشكل‎ ies 
العملية العامة لتقنيات التشفير بالمفتاح السري حيث يتم داخل كل مجموعة تقسيم‎ 
في كلا القسمين.‎ (bits) البيانات إلى قسمين. ويقوم إجراء (الاستبدال) بضغط جميع البتات‎ 
ويتم تمرير كلا القسمين ا مضغوطين على وحدة الإحلال والتي تقوم بخلط جميع البتات‎ 
في المجموعة. وتتكرر هذه العملية حتى يتم تشفير المدخلات بشكل مرض.‎ (bits) 


الشكل (۷-۷): النموذج العام لتشفير المجموعات 














جولة من تشفير 55 بت من المدخلات 4 
x P‏ 
] 5 بت ] ۲ بت 
T‏ - 
x‏ —- 
e MI‏ المفتاح ] 66 
S‏ تكرا الجولة 
Sel. es in‏ 
* .* 
7 بت ] ۲ بت 
P Ps‏ 
المخرجات المتوسطة لجولة تشفير 1£ بت 
الاحلال ب المفتاح سه 
هد هد ته Aic‏ 
المخر جات التهائية لجولة تشغير 3 








http://csrc.nist.,99/25/Data Encryption Standard (DES), 10 ,3-FIPS PUB 46 تم اقتباس الصورة من:‎ (11) 
.(12/23/pdf, (accessed 10.3-fips46/3-gov/publications/fips/fips46 
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طاذا الإحلال؟ 

قد يسأل قارئ مهتم السؤال التالي: إذا كان (الإحلال) شكلاً خاصاً من (الاستبدال) فقط SU‏ نستخدمه من 
الأماس؟ اذا لا نكرر عمليات (الاستبدال) عوضاً عن (الإحلال)؟ 

السبب وراء استخدام (الإحلال)هو نشر تأثير (الاستبدال) إلى أبعد حد. إذا نظرت في الشكل (V-V)‏ بتأمل ستجد 


أنه إذا تغيرت بت واحدة (bit)‏ في النصف الأيسر من المدخلات» فإن عملية (الاستبدال) تؤثر فقط في البتات 
(bits)‏ في النصف الأيسر من المخرجات. وينطبق الشيء نفسه على تغيير البتات في النصف الأيمن من المدخلات 
- عملية (الاستبدال) تؤثر فقط في البتات في النصف الأمن. وبإمكان الشخص المخرب استخدام هذه الخاصية 
لصياغة مدخلات خاصة ومن ثم اختراق خوارزمية التشفير. لذا فإن عملية (الإحلال) تنشر تأثير التغيير في بت 
واحدة إلى المخرجات الإجمالية للمجموعة. 





يتم تكرار عملية الاستبدال - الإحلال عدة مرات لضمان أن التغييرات في المدخلات تم 
توزيعها على جميع البتات (bits)‏ في المخرجات. وفي الشكل (V-V)‏ سيؤثر التغيير في بت 
T‏ العا على YY‏ 65 36:0 ا في المخرجات في الجولة الواحدة (إما النصف 
الأمن أو النصف الأيسرء يليها تغييرات في YY‏ بتا المقابلة من المخرجات الأخيرة للجولة). 
وهذا ليس مُرضيا. فللحصول على تش فير جید» يجب أن يؤثر أي تغيير في بت واحدة من 
المدخلات على جميع ال 16 بتا في المخرجات على حد سواء. وهذا سيجعل التشفير صعب 
الاختراق على المتسلل. ولتحقيق ذلك يتم تكرار الجولات حتى تتأثر جميع البتات (bits)‏ 
بأي تغيير في المدخلات حتى لو كان بسيطا. معيار تشفير البيانات (DES)‏ يستخدم ١7‏ 
جولة. ومعيار التشفير المتقدم (AES)‏ يستخدم ١6-٠‏ جولة اعتماداً على حجم المفتاح. 

الخلط- النشر: 


تسلسل الاستبدال - الإحلال لخوارزمية تشفير ال مجموعة يُحقق أفكار «كلود شانون» (Claude Shannon)‏ عن 
الخلط والنشر. شانون» والذي يعد على نطاق واسع والد نظرية ا معلومات. وضع فكرة أن الخلط والنشر يوفران 


أساساً جيداً لسريّة الأنظمة'". الخلط هو جعل العلاقة بين النص العادي والنص المشفر معقدة قدر الإمكان. أما 


النشر فهو توزيع تأثير التغيير à‏ بت واحدة من النص العادي على جميع البتات à (bits)‏ النص ORA‏ 
في تشفير المجموعة: الاستبدال يوفر الخلط في حين أن الإحلال يوفر النشر. 





تسلسل تشفير المجموعات :(Cipher block chaining)‏ 
عندما يتم تشفير المعلومات الموجودة في المجموعة, نحتاج إلى وسيلة لاستخدام هذه 


(12) Shannon, C. «Communication theory of secrecy systems,» 1946,http://netlab.cs.ucla.edu/wiki/ 
files/shannon1949.pdf (accessed 10/23/12). 
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الآلية لتشفير الحجم العشوائي للمعلومات. والفكرة الأساسية وراء الطرق المستخدمة في 
الواقع العملي لتحقيق هذا الهدف هي جمع كل المجموعات المشفرة وتجميعها معاً بشكل 
مناسب للحصول على نسخة مشفرة لإدخالات المستخدم. والطريقة الأساسية لتحقيق ذلك 
قد تكون مجرد جمع المجموعات كما هو مبين في الشكل (A-V)‏ وهذه الطريقة سهلة جداً 
للفهم لكنها غير مستخدمة في الواقع العملي لأسباب سنذكرها بعد قليل. لكن نظراً للأهمية 
النظرية لهذه الطريقة» أعطيت هذه الطريقة اسم «كتاب الرمز الإلكتروني» electronic)‏ 
(code book‏ وكتاب الرمز الإلكتروني هو عملية تقسيم الرسالة إلى مجموعات. ومن ثم 
تشفير كل مجموعة على حدة. 
الشكل (A-V)‏ كتاب الرمز الإلكتروني 


| رسالة نص عادي 
- : - 











الرسالة المشفرة | 





اذا Y‏ يتم استخدام (كتاب الرمز الإلكتروني) في الواقع العملي؟ الشكل (A-V)‏ يوضح 
أن هناك انتشاراً غير كاف للخلط في هذه الطريقة. إذا كانت المجموعة الأولى وا مجموعة 
الثالقة متطابقتين: فإن المجموعة المشفرة الأول والمجموعة المشفرة الثالثة ستكونان 
متطابقتين أيضاء وهذا سيكون واضحاً في المخرجات المشفرة النهائية. وهذا بمكن أن يعطي 
المهاجم dod.‏ عن المعلومات التي تم تشفيرها. لذلك لا بد من إدخال بعض التعقيد في 
الواقع العملي لنشر المخرجات بشكل كاف. ومن هذه الطرقء والتي يمكن فهمها بسهولة 
طريقة NX‏ تسلسل تشفير المجموعات (cipher block chaining)‏ والتي تستخدم 
معلومات من المجموعة المشفرة السابقة أثناء تشفير مجموعة ما. وهذا الآلية موضحة في 
الشكل (8-V)‏ 
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الفرق بين (كتاب الرمز الإلكتروني) و(تسلسل تشفير المجموعات) هو أنه قبل تشفير 
مجموعة ماء يتم ضغط تلك اللمجموعة بمخرجات من المجموعة السابقة. وتوضح الأسهم 
القطرية في الشكل أن المخرجات المشفرة للمجموعة السابقة يتم استخدامها لضغط 
dei deae] Da‏ :والعملية Bs Los deat‏ للذ جج ون ال مسيم 
«(exclusive OR)‏ وتكتب هكذا (XOR)‏ > وهي ممثلة في الشكل (3-V)‏ بعلامة الزائد )+( 
وتقوم عملية (XOR)‏ بمعالجة البت حيث تكون النتيجة )٠(‏ إذا كانت قيمة البت لكل من 
ENT‏ متساوية, أو تكون النتيجة (Y)‏ إذا كانت قيمة البت لكل من المدخلين مختلفة. 
Coles ixl aua deus‏ فان اللجموفة ا هة الأول :و الجموعة AJ EA E‏ ن 
تكونا متطابقتين وإن كانت المجموعة الأولى وا مجموعة الثالثة متطابقتين. 


يتم اختيار (ناقل التهيئة) عشوائياً للعمل على ضمان أنه إذا تم إرسال الرسالة نفسها 
هزة ole xl OBS‏ يكين dais‏ اما وببساطة يتم الحصول على المخرجات 
النهائية ل (تسلسل تشفير ا مجموعات) عن طريق تجميع المجموعات المشفرة معاً كما هو 
موضح في الجزء السفلي من الشكل (3-V)‏ 

وكما يتضح من هذا القسم يعتمد (التشفير بالمفتاح السري) يعتمد على عمليات بسيطة 
إلى حد ماء لذلك يُعد (التشفير بالمفتاح السري) طريقة مُتحفظة حسابياً للغاية. لكن كما 
ناقشنا سابقا في هذا الفصل يمكن التحدي في استخدام (التشفير بالمفتاح السري) يكمن في 
تبادل المفاتيح حيث يجب أن يكون كل من MEET‏ وامُستقبل قادرا على تبادل i‏ قبل 
الشروع في عملية التشفير. (التشفير بالمفتاح العام). والذي سنناقشه في القسم التالي» يحقق 
هذا الهدف. وعلى الرغم من أن (التشفير با مفتاح العام) يستنزف الموارد الحاسوبية للجهاز 
إلا أن أكبر ميزة له هي إتاحة التواصل السري عت القثواف عر uiis a‏ بعد فاليا 
للاستخدام في تبادل اطفاتيح. 


التشفير بالمفتاح العام :(Public-key cryptography)‏ 


يستخدم (التشفير بالمفتاح العام) مفتاحين: الأول للتشفير والآخر لفك التشفير. ويوزع 
مفتاح التشفير على نطاق واسع للسماح للمستخدمين بإرسال رسائل مشفرة مالك امفتاح. 


أمن المعلومات وإدارة مخاطر تقنية المعلومات yog‏ 


الفصل السابع 


أما مفتاح فك التشفير فيُستخدم لفك التشفير» ومن الواضح أن صاحب المفتاح يحافظ على 
مفتاحه بعناية. ولهذا السبب فإن مفتاح التشفير د يُسمى المفتاح العام» في حين أن مفتاح 
فك التشفير د يُسمى بالمفتاح الخاص. وللحفاظ على النقاش مختصراً ومبسطاً قدر الإمكان في 
هذا القسم» سنقدم مثالا ا للحساب ال معياري (modular arithmetic)‏ الذي يقف 
وراء أكثر خوارزميات (التشفير با مفتاح العام). بعد ذلك نستعرض خوارزمية (التشفير 
بالمفتاح العام) الأكثر شيوعاً وهي خوارزمية (RSA)‏ 


الشكل :(3-V)‏ تسلسل تشفير المجموعات 


A AAAA‏ ف 





)+ 
Nie‏ 
المجموعة المجموعة 
34 
المجموعة المجموعة 
المشفرة ^ المشف 5 ١‏ 








الحساب المعياري (modular arithmetic)‏ المستخدم في (التشفير بالمفتاح العام): 

أحياناً يُطلق على عملية المعامل (modulus operation)‏ عملية باقي القسمة 
(remainder)‏ . لذا فإن: 

«(mod 10 = 7). (94 mod 10 = 4 17)‏ وهكذا. 

ويوضح الجدول U (Y-V)‏ عملية استخدام معامل (Sb‏ القسمة في التشفير بالمفتاح 
العام. ويوضح الجدول كيف تتم عملية تشفير الأرقام العشرية. 


Kaufman, C. Perlman. R. and Speciner, M.) الموجود في الدراسة التالية‎ JELI هذا الجدول يعتمد على‎ (Y) 
(2002. Network Security: Private Communication in a Public World. Prentice-Hall 
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ولاستخدام جدول تشفير البيانات» ope‏ الأعداد اموجودة في رأس الجدول في Y‏ ومن 
نضرب 1 في Y‏ ونحسب معامل باقي القسمة على ٠‏ كما يلي: 
mod 10 = 18 mod 10 = 8).‏ 6*3( 


ومن ثم فإن العدد (A)‏ هو النص المشفر للعدد (I)‏ ويوضح الصف الأول المظلل في 
هذا الجدول النص المشفر المحسوب بهذه الطريقة لجميع الأرقام ذات الخانة الواحدة. 
ولفك التشفير نضرب النص المشفر في ۷ ونحسب معامل باقي القسمة على .٠‏ على 
سبيل JUL‏ 
mod 10 = 56 mod 10 = 6).‏ 8*7( 


لاحظ أن النتيجة تساوي T‏ والتي تم تشفيرها سابقاً إلى ۸. وفي الجدول تلاحظ النتائج 
لجميع الأرقام الأخرى في الصف الثاني المظلل من الجدول. 

ds‏ هذا المثال يممكننا كتابة )٠١ V)‏ على أنها مفتاح التشفير dell)‏ و )٠١ V)‏ على 
أنها مفتاح فك التشفير (الخاص). وفي هذا المثال هناك حقيقتان مثيرتان للاهتمام تتعلة 
باستخدام معامل باقي القسمة: 

EN‏ البيانات المشفرة باستخدام مفتاح التشفير لا مكن فك تشفيرها باستخدام مفتاح 


(8*3 mod 10 = 24 mod 10 = 4). 


Les‏ أن العدد )€( Y‏ يساوي العدد )1( فإنه Y‏ يمكن للمتسلل أن يستغل معرفته 
بالمفتاح العام لفك شفرة البيانات المشفرة بنفس المفتاح. ومن ثم فإن معرفة المفتاح 
الخاص ضرورية لفك التشفير. 

ثانياء بالإمكان استخدام أي من المفتاحين في التشفير ومن ثم فإن المفتاح الآخر سيعمل 
مفتاحاً لفك التشفير. على سبيل المثال. (Y = ٠١ mod V)‏ )4323( و (V2 ٠١ mod Y*Y)‏ 
(فك التشفير). وهذا يسمح لاستخدام (التشفير بالمفتاح العام) في التوقيعات الرقمية كما 
ذكرنا سابقاً في هذا الفصل. 


أمن المعلومات وإدارة مخاطر تقنية المعلومات Yu‏ 


الفصل السابع 


الجدول :(Y-V)‏ جدول معامل القسمة على ٠١‏ لتوضيح أساسيات التشفير بالمفتاح العام. 


نك نمكم 
o [momen mrw‏ | :| 1 
اماس مساك | af e | r |. | r‏ 
mod (Y)*(n)‏ ۰= النص 
ا مشفر 0)-> 


V (النص‎ 10 mod 7*(c 
< E 





ويوضح à JUI‏ جدول (Y-V)‏ أهمية طول à e AL‏ (التشفير بالمفتاح العام). فالمتسلل 
لن يستغرق وقتاً طويلاً في تخمين المفتاح الخاص )٠١ V)‏ إذا كان على ole‏ بالمفتاح العام 
.)٠١(‏ ومن ثم فإنه في الواقع العملي يتم استخدام أعداد كبيرة للغاية وذلك gil‏ 
المتسللين من تخمين المفتاح الخاص في أي مدة زمنية معقولة. 
خوارزمية (RSA)‏ 

يعتمد JULI‏ $ القسم السابق على نموذجٍ مبسط لتوضيح الخصائص ال مميزة ل (التشفير 


بال مفتاح العام). ود خوارزمية (RSA)‏ نوعا من أنواع (التشفير بال مفتاح العام) ا مستخدم 
à‏ الواقع العملي. وتعتمد خوارزمية (RSA)‏ على الأسس Jas‏ من الضرب. وهذه الخوارزمية 


(€) 


مشروحة باختصار à‏ هذا امرجع 


(14) A method for obtaining digital signatures and public-key cryptosystems. Rivest, R.L., Shamir, 
A. and Adleman. L. Communications of the ACM, 1978,21(2): 120-126 
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.١‏ ابدأ باثنين من الأعداد الأولية الكبيرةء ولنرمز لهم ب (p)‏ و(0). وتكون هذه الأرقام 
عادة أكبر من YOT‏ بت (bit)‏ لكل منهما (أي أكثر من ۷١‏ خانة عشرية لكل منهما). 
۲. احسب (n = p*q)‏ 
Y‏ احسب (= (ط-۱) * (و-١)‏ 9( 
.٤‏ اختر (e) lae‏ يكون أولياً بالنسبة ل )0( مع ملاحظة أنه يجب ألا يوجد عوامل 
مشتركة بين الرقمين باستثناء العدد .)١(‏ (الحرف e‏ يعني -encryption- xà Z3‏ 
وهذا الرقم سيستخدم 2 التشفير). 


o‏ اختر (d) lsa e‏ يكون النظير الضري ل (e mod)‏ بحيث أن أي رقم من هذا القبيل 
(d*e-1)‏ يقبل الة ة على (0).(الحرف d‏ يعني فك التشفير |39-decryption-‏ 
الرفع سيسعدم ني ed‏ 


. الزوج «en»‏ هثل المفتاح العام ويستخدم في التشفير. 
۷. الزوج «d,n»‏ هشل المفتاح الخاص ويستخدم في فك التشفير. 
۸. اطفاتيح تستخدم كالتالي: 
- لتشفير الرسالة (m)‏ احسب النص المشفر (c = m° mod n)‏ 
- لفك شفرة النص المشفر (c)‏ احسب (m = c! mod n)‏ 
ويمكن أن نطبق ذلك على مثال مبسط. لكن يجب أن يكون الشخص قطناً في الأرقام 
التي يختارها لأن الأسس ستؤدي إلى أرقام ضخمة بسرعة كبيرة. ومع ذلك فإن الأرقام 
التالية ستعمل بشكل جيد (0-3) (7)0-11". وباختيار هذه الأرقام سيكون لدينا: 
(n2 3*11 = 33) 1‏ 


(9 ) = 10*2 = (1-11) * (1-3) = 20) 2 


Tannenbaum, A.S. and Steen, M.v. Distributed Systems: «JUJI الكتاب‎ à هذه الأرقام تم اختيارها‎ (VO) 
Principles and Paradigms. 2002. Upper Saddle River, NJ, Prentice-Hall, Inc 
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الفصل السابع 


(Y+) والعدد‎ (V) لأنه لا يوجد عوامل مشتركة بين العدد‎ Y = (e) لنفرض أن‎ Y 
.)١( باستثناء العدد‎ 
Ye = (9) يقسم‎ ٠١ لأن (1-7*3 = 20( والعدد‎ ۷ = (d) وبإمكاننا اختيار العدد‎ .٤ 
ه. وبهذه الخيارات فإن:‎ 
.(c 2 m3 mod 33) - 
.(m = c7 mod 33) - 


الجدول :(£-V)‏ مثال على خوارزمية (RSA)‏ 


ويوضح جدول (£-V)‏ استخدام هذه الخيارات في مثال على خوارزمية .(RSA)‏ ويبدأ المثال 
بتحويل النص العادي إلى شكل رقمي. وببساطة يستخدم المثال ترتيب الحروف الهجائية 
لتحديد التمثيل الرقميء Y — 6111-2 (a) X ta‏ وهكذا EN‏ التحقق من عمليات 
التشفير وفك التشفير من الجدول. 





۳1٤‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


Le‏ أن المفتاح العام يتضمن العدد (n)‏ وهو حاصل ضرب العدد (p)‏ والعدد (q)‏ والتي 
تم اختيارهما في البدايةء فإذا أمكن تحليل العدد (n)‏ إلى عوامله الأولية فإن خوارزمية 
(RSA)‏ يمكن اختراقها. ولذلك olè‏ أمن خوارزمية (RSA)‏ يعتمد بشكل حاسم على صعوبة 
تحليل الأعداد الكبيرة إلى عواملها الأولية. 

أيضا تعتمد خوارزمية (RSA)‏ بشكل كبير على توفر أعداد كبيرة من الأرقام الأولية 
الكبيرة. وإذا م يكن EUIS‏ فإن المتسلل يتمكن ببساطة من إنشاء جدول يتضمن جميع 
الأعداد الأولية ال معروفة» ومن ثم محاولة تجريب حاصل ضرب هذه الأعداد حتى يتمكن 
من الحصول على العدد (n)‏ لحسن الحظ فإن الأعداد الأولية كثيرةء ولكن تخزين جميع 
الأعداد الأولية المعروفة al‏ غير عملي. Flog‏ على ذلك إذا تم استخدام أرقام أولية كبيرة 
فإن خوارزمية (RSA)‏ تكون آمنة على الأقل حتى الوقت الراهن. 


نظرية العدد الأولي 


"A 1 z Zu : 


In(n) ^ 


ل 3log)‏ 2 حيث (log) Lë‏ لوغاريتم الأساس .٠١‏ ولنفرض أن (n)‏ عدد يتكون من ٠١‏ خانات. وها أن 
oL (log(107)-10)‏ احتمال أن العدد يكون أوليا (10-1/2.3* 1/2.3). وإذا كان العدد (n)‏ يتكون من ٠٠١‏ 


خانة ob‏ احتمال أن العدد أولي يصبح Y‏ في YY*‏ 

وبعبارة أخرى إذا قمنا باختيار 77٠١‏ عدد يتكون كل منهم من ٠٠١‏ خانة فمن المرجح جداً أن نعثر على عدد 
أولي. وبالتعاقب يوجد تقريبا (PPA) ٠١‏ عدد أولي يتكون من ٠٠١‏ خانة. ويصل حجم تخزين الأجهزة 
الحاسوبية في العام إلى قرابة «cub ٠١"‏ ولذلك فمن غير العملي تخزين جميع الأعداد الأولية لاختراق خوارزمية 
(RSA)‏ باستخدام طريقة التخمين والاختبار. 





دوال التجزئة :(Hash functions)‏ 
تستخدم دوال التجزئة لتحويل المدخلات إلى مخرجات ذات طول ثابت. ولهذا التحويل 
خاصيتان: )١(‏ كل عنصر من المدخلات يقابله عنصر فريد من المخرجات. (Y)‏ ومن 
المستحيل تخمين أحد ال مدخلات بناءً على ا مخرجات المحددة. وهذا موضح في الشكل -V)‏ 
٠‏ . ويمكن ملاحظة أن جميع المدخلات لها مخرجات فريدة (وهذا هو سبب تسمية هذا 
التحول بالدالة)”". لكن المدخلات من ١‏ إلى ١‏ تم تحويلها جميعاً إلى مخرجات التجزئة 


(Y)‏ الدالة: قاعدة توافق بين مجموعتين بحيث يتم إسناد كل paie‏ فريد من ال مجموعة الثانية إلى عنصر محدد في 
المجموعة الأولى .(Houghton-Mifflin Harcourt eReference)‏ 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات ۳10 





الفصل السابع 


نفسها. ومن ثم عند تحديد مخرجات التجزئة فإنه من ا مستحيل معرفة أن غنصراً معيناً 
من المدخلات قد أدى إلى المخرجات المحددة. 


(Hash function) دالة التجزئة‎ :)٠١-۷( الشكل‎ 


مخرجات دالة التجزئة 





١ مدخلات‎ Y مدخلات‎ Y مدخلات‎ 


وكما ناقشنا سابقاً فإن دالة التجزئة تُستخدم أيضاً لحفظ كلمات المرور. فإذا كانت 
كلمة ال مرور محفوظة كنص واضح فإن سرقة البيانات تؤدي إلى الحصول على كلمات المرور. 
ومن ثم فإن حفظ كلمة المرور كدالة تجزئة يساعد على حمايتها من السرقة. 


بإمكانك أن تختبر هل يحفظ الموقع الإلكتروني كلمة ا مرور كنص واضح أو كدالة تجزئة من خلال طلب كلمة 


المرور. فإذا قام الموقع بإرسال كلمة ا مرور ستعرف حينها أن الموقع يحفظ كلمة المرور كنص واضح. أما إذا كان 
يحفظ كلمة ال مرور كدالة تجزئة فإنه لن يكون قادرا على إرسال كلمة المرور. 





التشفير قيد الاستخدام: 

التحدي ال متبقي في استخدام التشفير في الواقع العملي هو بناء الثقة في المفتاح العام 
ال من قبل المستخدم. لقد رأينا أنه من السهولة بمكان توليد المفتاح العام والمفتاح 
الخاص. لكن ما الذي سيحدث إذا أرسل لك المتسلل مفتاحاً lole‏ وادعى أن ذلك المفتاح 
هو ال e UA‏ العام للبنك الأمريكي (Bank of America)‏ كيف ستكتشف أن ذلك المفتاح 
ليس تابعاً لذلك البنك؟ في الأجزاء المتبقية من هذا الفصل سنناقش كيفية استخدام 


ru‏ أمن المعلومات وإدارة مخاطر تقنية ا لعلومات 


(التشفير با مفتاح العام) في التقنيات التجارية مثل (VPNs) s (SSL/TLS)‏ وبعد ذلك 
سنناقش الإجراءات المستخدمة لبناء الثقة في المفاتيح العامة. 


تقنيات طبقة المنافذ الآمنة وبروتوكول أمن طبقة النقل (SSL/TLS)‏ والشبكة الافتراضية 
الخاصة :(VPNSs)‏ 


التقنيات الأكثر شيوعاً لتشفير المعلومات خلال النقل الشبكي هي تقنية «طبقة المنافذ 
الآمنة وبروتوكول أمن طبقة النقل» Security Sockets Layer and Transport)‏ 
(Layer Security) (SSL/TLS‏ وتقنية «الشبكة الافتراضية الخاصة» Virtual Private)‏ 
(SSL/TLS) à (Network) (VPN‏ يتم تشفير معاملة معينة مع خادم شبكة معينء أما 
في (VPN)‏ فيتم تشفير جميع الاتصالات من جهاز الحاسب JYI‏ 

والسمة البارزة لجميع تقنيات التشفير المستخدمة عملياً هي الجمع بين أفضل ميزات 
(التشفير باطمفتاح السري) و(التشفير بالمفتاح العام) لضمان تجربة ممتعة للمستخدم. 
ويتطلب (التشفير بالمفتاح السري) الحد الأدنى من القدرات الحاسوبية» لكنه يحتاج إلى 
Jols‏ اممفتاح المشترك بشكل آمن قبل البدء بالتواصل السري. أما (التشفير بالمفتاح العام) 
فيستنزف الموارد الحاسوبية للأجهزة لذا فإنه ليس من المناسب تشفير المحادثة كلها 
باستخدام المفتاح العام خصوصاً في الأجهزة الصغيرة. ومع ذلك حتى أبسط الأجهزة مكنها 
استخدام (التشفير با مفتاح العام) لفترة وجيزة بهدف تبادل المفتاح السري. 

لذلك فإنه في الممارسات التجارية يبدأ التواصل الآمن بالخادم الذي يزود المستخدم 
با مفتاح العام. بعد ذلك يستحدث المستخدم مفتاحاً TN‏ مانا با ويقوم بتشفيره باستخدام 
المفتاح العام للخادم. وهذا ينهي استخدام (التشفير بالمفتاح العام) لهذا التواصل. ويتم 
تشفير جميع التعاملات اللاحقة باستخدام المفتاح السري المشترك. 


:(Certificates) التصديق‎ 


عملياً التشفير يعتمد بشكل كبير على موثوقية المفتاح العام dong‏ شن قل الاد 
وهذا ممائل m‏ للحاجة مموثوقية رخصة القيادة كإثبات للهوية في العام المادي. ففي 
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الفصل السابع 


العام المادي نتحقق من موثوقية رخصة القيادة من خلال التأكد من أن الرخصة صادرة 
بالفعل من إدارة تسجيل المركبات في الولاية. أما في عام الإنترنت فهناك شركات تدعى ب 
«هيئات التصديق» (certificate authorities)‏ والتي تعمل بشكل مشابه لإدارة تسجيل 
ا مركبات حيث تصدر هيئة التصديق المفاتيح العامة للخادم. وتتم عملية تبادل المفتاح 
العام كما هو موضح في الشكل .)١١-۷(‏ 

وتحصل الخوادم المهتمة بالمشاركة في صفقات التجارة الإلكترونية على المفتاح العام 
من أحد مزودي المفاتيح العامة ال معروفين ب «هيئة التصديق» (certificate authority)‏ 
وتقوم هيئة التصديق بتشفير المفتاح العام لخادم الشبكة وعنوان ال (IP)‏ وذلك باستخدام 
مفتاحها الخاص والذي يُستخدم كشهادة تصديق. 


الشكل :(VV-V)‏ عملية تصديق المفتاح العام 





هيئة التصديق | 
$ 
١‏ استلام المفتاح العام 
£ ارسال المفتاح العام o‏ اسئلام التأكيد 


لهيئة الل ديق للتأكد 


Y‏ ارسال المفتاح العام واسم هيئة التصديق بهيئة التصديق في قاعدة البيانات الداخلية 





التوثيق هو مجموعة من المعلومات تحتوي على ال مفتاح العام المشفر للخادم» كما 
تحتوي على التعريف بمزود المفتاح. وتقوم الخوادم بإرسال التوثيق إلى العملاء للتعريف 
بأنفسهم قبل البدء بالاتصال الآمن. giha‏ العميل sl)‏ ا متصفح) M Ao‏ مفاتيح عامة 
لجميع هيئات التصديق ا معروفة. وإذا كانت هيئة التصديق معروفة فإنه يتم فك شفرة 
التصديق باستخدام المفتاح العام المعروف والتابع لهيئة التصديق. ويحتوي التصديق» 


۳ أمن المعلومات وإدارة مخاطر تقنية المعلومات 














الذي تم فك شفرته. على المفتاح العام التابع لخادم الشبكة. وللتأكد من أن كل شيء على 
ما يرام» يقوم المتصفح أيضا بمقارنة عنوان ال (IP)‏ التابع لخادم الشبكة بعنوان ال (IP)‏ 
التابع للخادم المتصل به ال متصفح" 9 
البنية التحتية للمفتاح العام :(PKI)‏ 

الحلقة المفقودة الأخيرة في هذه العملية هي هيئات ا مصادقة. ما الذي هنع المتسلل 
من أن يتنكر في شكل هيئة مصادقة؟ 

طريقة تعاملنا مع هذا الموضوع هي أن المتصفحات تأني بقائمة من هيئات المصادقة 
التي تمت الموافقة عليها. والشكل (W-V)‏ يوضح مثالا من متصفح كروم (Chrome)‏ وإذا 
كان التوثيق الذي قدمه الخادم واحدا من تلك المذكورة في القائمة, فإن المتصفح يستخدم 
معلوماته للتواصل مع هيئة التوثيق للتأكد من صحة التوثيق. وإذا كان التوثيق صادرا من 
منظمة أخرى (على سبيل ال مثال» من الجامعة نفسها). يقوم المتصفح بتنبيه المستخدم حول 
هذه المسألة وذلك للسماح للمستخدم بالاعتماد على حكمه الشخصي في الثقة بهيئة التوثيق. 


الشكل :)١-1(‏ هيئات المصادقة في المتصفح 


Certificates 


Intended purpose: <All> - 


Intermediate Certifica&on Authorities Trusted Root Certification Authoribes | Trusted Publ * |> 


Issued To Issued By Expeato.. Friendly Name 
اج‎ z 
,I ABA.ECOM Root C. ABA.ECOM Root CA 
0 . AC Raiz Certbcámara ... 
AC RAIZ DNIE 
AC RAIZ FNMT-RCM 


DST (ABA.ECOM. 
Al Certicá. 











CalAC1 RAIZ MTIN AC1 RAIZ MTIN AC1RAIZ MTIN 
;JACEDICOM Root ACEDICOM Root EDIC 
CalA-CERT ADVANCED ^ A-CERT ADVANCED A-CERT ADVANC... 
alACNLB ACNLE NLS Nova Ljublja.. - 
[ 1meort.... ] ] Bort... e [ Advanced 


I 
Certificate intended purposes 


Server Authentication, Client Authentication, Secure Email, Code Signing, Time 
Stamping, Encrypting Fle System, IP security tunnel termina ton, IP security p 
user vew 


first-few-milliseconds-of-/06/http://www.moserware.com/2009 انظر الموقع التالي:‎ SÍ ولتفاصيل‎ (VV) 
(13/2/accessed 2) .https.html 

Alice and» ولتفاصيل مثيرة للاهتمام حول عملية تشفير التوثيق على أساس ا ميثولوجيا الهندوسية: انظر المقال التالي:‎ (VA) 
Bob can go on a holiday,» by S. Parthasarthy. http://profpartha.webs.com/publicationslalicebob. 
U وقد يكون هناك أمثلة أخرى توضيحية وذات علاقة بثقافة محددة ومشابهة‎ .(2013/18/pdf (accessed 07 
سبق. نرغب في معرفة تلك الأمثلة لإدراجها في الطبعات القادمة من هذا الكتاب (مع الإسناد طبعا).‎ 
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الفصل السابع 


ويوضح الشكل QY-V)‏ مثالا على أحد تلك التنبيهات. وتم إصدار التوثيق في هذه 
الحالة على خادم ويب محلي بواسطة هيئة مصادقة تدعى (Nessus)‏ ولأن خادم الشبكة 
هذا ليس من ضمن هيئات المصادقة ا معروفة: فإن ال مسار الحكيم للمتصفح هو أن يطلب 
من ال مستخدم المشورة بخصوص كيفية التعامل مع هذه الحالة. 

ويطلق على الإطار الذي casi‏ لإصدار توثيقات المفاتيح العامة والحفاظ عليها وإلغائها 
«البنية التحتية للمفتاح العام» (public-key infrastructure)‏ 


نموذج حالة - شركة :(Nation Technologies)‏ 


لقد رأينا في هذا الفصل أن الطريقة الأساسية التي نستخدمها للتشفير هي تأمين قناة 
الاتصال. وتسمح LI‏ التقنيات مثل «طبقة المنافذ الآمنة وبروتوكول أمن طبقة النقل» 
(SSL/TLS)‏ وتقنية «الشبكة الافتراضية الخاصة» (VPN)‏ بإنشاء اتصال مشفر بين أجهزة 
الحاسب الآلي» لكن المحتوى نفسه يظل دون تشفير. أما التقنيات الأخرى ال مستخدمة في 
التشفير فتقوم بتشفير القرص الصلب بالكامل. 


والمشكة ال مشتركة في جميع طرق التشفير هذه هو أنه على الرغم من محاولة تشفير 
المعلومات المحفوظة ف OLI‏ فإن هذه الطرق تقوم بتشفير كل شيء باستثناء الملفات 
نفسها. وبمجرد أن يقوم المستخدم بتسجيل الدخول على حسابه فإن جميع الملفات تكون 
مرئية. فيمكن لهجوم انتحالي (phishing attack)‏ الذي يستهدف المستخدم الموجود 
حالياً على النظام» أن يحصل وبنجاح على جميع الملفات التي يستطيع المستخدم الوصول 
إليها. فبمجرد أن يتم إرسال الملف عبر البريد الإلكتروني فإن المرسل لا يتمكن من التحكم 
في كيفية قيام المستقبل بحماية المحتويات المعلوماتية في الملف. 

هل سيكون من الأمهل الاكتفاء بتشفير الملفات التي تحتاج إلى تشفير؟ وهل من 
الأفضل جعل ال ملفات مشفرة طوال الوقت» وتركها دون تشفير خلال فترة القراءة والتحرير 
وذلك لمستخدمين محددين؟ 

هذه التقنية ممكنة وقد تم تطويرها من قبل شركة Caa‏ شركة Nation)‏ 
5 ] والتي أسسها ستيفن نيشن (Stephen Nation)‏ وهو ضابط استخبارات 
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سابق في إدارة شرطة مدينة نيويورك (NYPD)‏ وتسمح منتجات وخدمات هذه الشركة 
للعملاء بتشفير ال ملفات منفردة بعضها عن بعض. ويمكن تبادل الملفات ا لمشفرة مع أي 
عدد من ال مستخدمين. ويستطيع الشخص الذي يشفر ا ملف أن يحدد أذونات الوصول إلى 
ا ملفات وذلك لمستخدمين محددينء بحيث يكون كل مستخدم bis‏ من خلال عنوان 
بريده الإلكتروني أو أي مُعرّف آخر. ويمكن لمستقبلي الملفات حفظ الملف وفتحه للقراءة 
وعندما يتم إغلاق CAL‏ فإنه يعود إلى حالته المشفرة. والميزة المحتملة لهذه الطريقة هي 
أنه لا يكون لدى المنظمات ما يدعو للقلق بشأن سرقة أسرارها لأن المعلومات تكون مشفرة 
حتى وهي محفوظة. 


الشكل OFV)‏ توثيق غير موثوق به 


The site's security certificate is not trusted! 





الملخص: 

في هذا الفصل ناقشنا موضوع التشفير على المستويات العليا من حيث التطبيقات 
والخوارزميات والبنية التحتية القائمة لتمكين التشفير السّلس. وقد ناقشنا ثلاثة أنواع من 
التشفير: دوال التجزئةء والتشفير بالفتاح السريء والتشفير بالمفتاح العام. وتختلف أنواع 

وعملياً تجمع التقنيات المستخدمة (SSL) (VPN) Jia‏ بين التشفير با مفتاح السري 
والتشفير بالمفتاح العام. ويُستخدّم التشفير با مفتاح العام مبدئيا لتبادل المفتاح وذلك 
لتجنب استنزاف الموارد الحاسوبية التي تحدث إذا استخدم التشفير بالمفتاح العام لكامل 
ا معاملة. 
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الفصل السابع 


وحتى تتم عملية التبادل بسلاسة» أنشئت صناعة تقنية المعلومات مجموعة من 
الإجراءات للتحقق من المفتاح. وهذه الإجراءات تعرف مُجتمعة باسم «البنية التحتية 
للمفتاح العام». ويمكن أن يُقاس نجاح هذه الإجراءات بالجهل النسبي els‏ العملاء 
بالأنشطة التي تجري في الخلفية لضمان أمان معاملات التجارة الإلكترونية. 


توصية: 

لنقاش جذاب ومرح وشامل حول التعامل مع التشفير ننصح بشدة بقراءة كتاب كوفمان 
وبير مان C cus‏ إذ إن جميع تفاصيل التشفير التي م نتحدث عنها في هذا الفصل 
يمكن استكمالها بالرجوع إلى هذا الكتاب. وبالإضافة إلى كون المؤلفينٍ من أكثر الناس دراية 
pep pressa.‏ خبراء وكتاب موهوبون قد بذلوا جهدا كبيراً لجعل هذا الموضوع 
التقني TR‏ وسهل التناول. وقد تعلمناء نحن مؤلفي كتاب (أمن المعلومات 
(essi BEES‏ كي من هذا المرجع. 


أسئلة مراجعة للفصل: 
.١‏ ما التشفير؟ 
.Y‏ ما استخدامات التشفير؟ 
Y‏ باختصاز اشرح Bà‏ قيصر: 
.٤‏ ما متطلبات خوارزمية التشفير الجيدة؟ 
SU 0‏ تستخدم المفاتيح في خوارزميات التشفير الحديثة؟ 
١‏ .ما التشفين بالمفتاح المتري؟ 


۷. قدم لمحة عامة عن المعيار الحالي ل (التشفير بالمفتاح السري). ما هي بعض 
تطبيقات هذا المعيار؟ 


(19)Kaufman, c., Perlman, R. and Speciner, M., 2002. Network Security: Private Communication 


in a Public World, Prentice-Hall 
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A‏ ما التشفير بالمفتاح العام؟ 

.٩‏ ما هي بعض تطبيقات التشفير بالمفتاح العام؟ 

Ls. V-‏ التوقيعات الرقمية؟ 

١.كيف‏ يُستخدم (التشفير با مفتاح العام) لتجهيز التوقيعات الرقيمة؟ 

.ما دوال التجزئة؟ قدّم لمحة عامة عن دوال التجزئة المشهورة. 

Us. W‏ استخدامات دوال التجزئة؟ 

.ما تشفير المجموعة؟ وماذا يتم 5523 البيانات إلى مجموعات للقيام ب (التشفير 
با مفتاح السري)؟ 

0ه الاستبدال في سياق التشفير؟ 

.ما الإحلال في سياق التشفير؟ وماذا نحتاج إليه؟ 

.ما نموذج الخلط والنشر في التشفير؟ 

Us. VA‏ تسلسل تشفير المجموعات؟ وما أهميته؟ 

8قدَّم dal‏ عامة عن خوارزمية (RSA)‏ 


.ما تقنية «طبقة المنافذ الآمنة وبروتوكول أمن طبقة النقل» (SSL/TLS)‏ وتقنية 
«الشبكة الافتراضية الخاصة» $(VPNs)‏ وما استخداماتها؟ 


۱ هي بعض الاختلافات بين (SSL)‏ و S(VPNs)‏ 
Ls. YY‏ التوقيق؟ 

“.ما هيئات التوثيق؟ وما الخذمات التى 5 Sla‏ 
٤.ما‏ البنية التحتية للمفاتح العام S(PKI)‏ 


0.ماذا نحتاج البنية التحتية للمفتاح العام S(PKI)‏ 


أمن المعلومات وإدارة مخاطر تقنية ال معلومات سرام 


الفصل السابع 


أسئلة على نموذج الحالة: 

Nation Technology) (www.nationtech) قم بزيارة الموقع الإلكتروني لشركة‎ .١ 
ما هي بعض ميزات منتجات الشركة؟‎ .(nologies.com 

Y‏ اعتماداً على رأيك» صف إحدى الطرق المفيدة لاستخدام التقنية التي توفرها شركة 
(Nation Technology)‏ 

.Y‏ اعتماداً على رأيك» ما الشركات وما الصناعة التي تنتمي إليها يمكن أن تستفيد ]35 من 
غيرها من التقنية التي توفرها شركة (Nation Technology)‏ وماذا؟ 


ع. في اعتقادك ما أهم مخاطر الأعمال التي تواجهها شركة *(Nation Technology)‏ 


نشاط التدريب العملى - التشفير: 

هذا النشاط العملي يوضح استخدام التشفير اعتماداً على آلة لينكس الافتراضية والتي 
تم إعدادها في الفصل الثاني. وسوف تقوم بتنفيذ التشفير باستخدام دوال التجزئة ٠(‏ 
مفتاح). وا مفتاح السري Y)‏ مفتاح)» والمفتاح العام Y)‏ مفتاح). تأكد أن لديك اتصالا 
بالإنترنت» وافتح نافذة طرفية لإكمال هذه الأنشطة. 


كلمات مرور دوال التجزئة: 
كما ذكر خلال هذا الفصل أن أنظمة التشغيل تحفظ نتائج دوال التجزئة بدلا من 
حفظ القيمة الحقيقية لكلمة المرور. وف نظام (CentOS Linux)‏ فإن دالة التجزئة 
الافتراضية لكلمات المرور هي (SHA-512)‏ (وفي الماضي كانت (MD5)s (DES)‏ هي 
الدوال الافتراضية). 
٠‏ قم بتسجيل الدخول باستخدام حساب (alice)‏ (كلمة المرور: (aisforapple‏ وافتح 
ئف 4 
۰ يحتوي نظام (CentOS)‏ على (grub. crypt) eb»‏ والذي يسمح UJ‏ برؤية نتائج 
دوال التجزئة المختلفة دون تغيير كلمة مرور المستخدم. 
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[alice8sunshine Desktop]$ grub-crypt 
--sha-512 

Password: aisforapple 

Retype password: aisforapple 
$6$DqW2UfDcPZjKyQyc$fwQqIAxfEgEuy6 
KFAKxEdKP1cWuy0d5vemqNRV2uNAPf1 VNaX 
hpmZYOIZuWS8iitCS2MhOMaR2h8EYODgQb5Z/1 
[alice?sunshine Desktop]$ grub-crypt 
--sha-256 

Password: aisforapple 


Retype password: aisforapple 


$5$omu31sk0zLzOVug12$sbFJlcupATlu6Kw2iTf 


qXMMbbgYanXoNtEDjgVH876 
[alice&sunshine Desktop]$ grub-crypt --md5 
Password: aisforapple 

Retype password: aisforapple 
$1$S5213Gc1H$sTKjWuHbrSrquDLzy4XT8/ 





وتحتوي النتائج على ثلاث قيم مفصولة بعلامة الدولار. ويمكن تفسير هذه النتائج كما 
يلي :(id$salt$hash$)‏ 
القيمة الأولى (Id)‏ - وهي مَعرّف رقمي يحدد خوارزمية دالة التجزئة المستخدمة 
C (MDS5, SHA-256, SHA-512)‏ 
e‏ القنبة القاسة dL uiua - (Salt)‏ مق dI cayo M‏ اة الم dads‏ ]25 طول 
مدخلات الدالة. 
٠‏ القيمة الثالثة (Hash)‏ - نتيجة خوارزمية دالة التجزئة على كل من: كلمة ال مرور 
الخاصة با مستخدم والقيمة الثانية .(salt)‏ 


http://linux.die.net/ hsl JI على‎ (pam unix man) لقائمة كاملة من الخوارزميات المعتمدة راجع صفحة‎ (Y-) 


pam unix/A/man 
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الفصل السابع 

وكما ترى فإن الخوارزميات المختلفة تؤدي إلى نتائج مختلفة بشكل كبير حتى عند 
استخدام كلمة ا مرور نفسها كمدخلات. 

اختر كلمة مرور قوية Flo‏ على القواعد المذكورة في الفصل الثامنء ثم قم بتشغيل 
برنامج (grub-crypt)‏ مع دوال التجزئة (SHA-512)5 (SHA-256)5 (MDS)‏ 

قم بتشغيل الأمر (grub-crypt)‏ عدة مرات مع استخدام كلمة المرور نفسها وخوارزمية التشفير. 
اسئلة: 

.١‏ هل يؤدي تشغيل الأمر عدة مرات إلى النتائج نفسها في كل مرة؟ Ue‏ إجابتك. 

Y‏ احفظ نتائج الأمر السابق في ملف نصي بالامتداد التالي: 

lopt/book/encryption/results/exY.txt 

النتائج المطلوب تسليمها: قم بتسليم محتويات الملف (exl.txt)‏ إلى أستاذ المادة. 
ملف دالة التجزئة «المجموع الاختياري» :(checksum)‏ 

وبالإضافة إلى كلمات المرور فإن الاستخدام الرئيسي لخوارزمية دالة التجزئة في نظام 
لينكس هو التحقق من تكامل ملفات الأنظمة. ويعد الأمر (md5sum)‏ وسيلة سهلة 
لتوليد «المجموع الاختياري»" ملف معتمدا على خوارزمية (MD5)‏ أو مقارنة ملف 
بمجموع اختياري معروف مسبقا. وإذا كان «المجموع الاختياري» للملف يختلف عن 
كل القيم الجيدة والمعروفة, فإن الملف قد تم تعديله مما يعني أن النظام قد تم اختراقه. 
وبالإمكان توليد «مجموع اختياري» ,للف كما يلي: 


[alice2sunshine - [5 md5sum hello.txt 


8ddd8be4b179a529afa5f2ffae4b9858 hello.txt 





«المجموع الاختياري» اللعتمد على خوارزمية (MDS)‏ يستند كذلك إلى محتويات «AMA‏ 
ومن ثم يمكن نسخ ال ملف أو إعادة تسميته دون التأثير في قيمة المجموع الاختياريء لكن إذا 
تم تعديل المحتويات بأي شكل من الأشكال فإن الأمر (md5sum)‏ سيعطي قيمة مختلفة. 


(Y3)‏ يوجد أوامر لتوليد «المجموع الاختياري» اعتماداً على خوارزمية (SHA)‏ لكن خوارزمية (MDO)‏ هي الأكثر 
استخداما في الواقع العملي. 


۳۷1 أمن المعلومات وإدارة مخاطر تقنية المعلومات 





[alice?&sunshine -]$ cp hello.txt world.txt 


[alice2sunshine - [5 md5sum world.txt 
8ddd8be4b179a529afa5f2ffae4b9858 world. 
txt 

[alicegsunshine ~]$ echo ‘ << world.txt 
[alice2sunshine - [5 md5sum hello.txt world 
txt. 

8ddd8be4b1792a529afa5f2ffae4b9858 hello.txt 


c231742ea29c9e53d4956d8fa4dd6d96 world.txt 





كما يمكن حفظ مخرجات الأمر (mdSsum)‏ على شكل ملف نصيء وهذا سيكون مفيداً 
في حال توليد «المجموع الاختياري» لعدد كبير من الملفات حيث يمكن بعد ذلك استخدام 
ا ملف النصي كمدخلات طفتاح (c)‏ في الأمر (md5sum)‏ والذي يقارن بين «المجموع 
الاختياري» لجميع ملفات وتقارير النتائج المذكورة. 


[alice2sunshine - [5 md5sum *.txt > check- 
sums.txt 

[alice2sunshine ~]$ cat checksums.txt 
8ddd8be4b1792a529afa5f2ffae4b9858 hello.txt 
c231742ea29c9e53d4956d8fa4dd6d96 world.txt 
[alice2sunshine - [5 echo ‘This has been 
modified > hello.txt 

[alice2sunshine ~]$ md5sum -c checksums. 
txt 

hello.txt: FAILED 


world.txt: OK 


md5sum: WARNING: 1 of 2 computed check- 


sums did NOT match 





أمن المعلومات وإدارة مخاطر تقنية المعلومات yvy‏ 


املف التالي (opt/book/encryption/checksum/checksums.txt/)‏ يحتوي على 
قائمة من «ال ملجموع الاختياري» ا معتمد على خوارزمية (MDO)‏ لجميع املفات à‏ هذا 
الدليل. تحقق من تكامل الملفات. 
Jac .١‏ جميع الملفات التي تفشل في اختبار التحقق من تكامل الملفات في ا ملف 
التالي (opt/book/encryption/results/failed.txt/)‏ 
Y‏ أنشن ملفا نصياً يحتوي على جميع قيم «ا مجموع الاختياري» للملفات ذات الامتداد 
(-png)‏ في هذا الدليل وقم بحفظه كما يلي opt/book/encryption/results//)‏ 
.(checksum.txt‏ 


النتائج المطلوب تسليمها: قم بتسليم محتويات الملف (failed.txt)‏ وملف -checksum)‏ 
(txt‏ إلى أستاذ المادة. 


التشفير بالمفتاح السري: 

پستخدم التشفير بالمفتاح السري على نطاق واسع à‏ نظام odd‏ لتشفير الملفات. 
وتشمل معظم توزيعات لينكس الحديثة kis‏ لواحد أو أكثر من نظم اطملفات ال مشفرة. 
والتي تقوم بتشفير جميع الملفات كما هي مكتوبة في القرص. ويعد موضوع تهيئة نظام 
الملفات المشفرة خارج نطاق هذا الفصلء لكن الأمر "(aescrypt)‏ يوفر وسيلة لحماية 
الملفات الفردية بنفس dà o‏ التشفير بالمفتاح السري. وقائمة مُعاملات الأوامر سهلة جدا 
كما هو موضح في الجدول (0-V)‏ 

وبالإمكان استخدام هذه الأوامر لتشفير وفك تشفير ملف (hello. txt)‏ كما يلي: 


[alice2sunshine - [5 cat hello.txt 


Hello World! 


[alice8sunshine -]$ aescrypt -e hello.txt 


p 1234qwer -o hello.txt.aes- 





http//www.aescrypt.com لكنه متاح في الموقع التالي:‎ (CentOS) el&J ليس زا في التثبيت الموحد‎ (YY) 


YVA‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 





الجدول :(0-V)‏ خيارات الأمر (aescrypt)‏ 


0 >إضسفسش‎ | 
OoOo umsase|4 | 


-p «password»‏ | كلمة المرور المستخدمة. وإذا كان هذا الخيار محذوفاً فإن هذا 
الأمر يقوم بتسجيل دخول المستخدم بشكل فوري. 


[alice2sunshine ~]$ head -1 hello.txt.aes 
AES^B^Q^Q^XCREATED BY^&AESCRYPT 
3.05^(Q^(Q^(D^(D^(D^(D^(D^(Q^(D^(D^(Q^(Q^(Q^(Q^(Q^QQ^(QQ^(^ 
(9^Q^(QQ^e 

[alice8sunshine -]$ aescrypt -d hello. 

txt.aes -p 1234qwer -o 

hello.decrypt.txt 

[alice8sunshine -]$ cat hello.decrypt.txt 

Hello World! 





أسئلة: 
في هذا التمرين قم sso‏ الأدلة إلى (opt/book/ encryption/secret-key/)‏ 


.١‏ قم بتشفير املف (plans. txt)‏ باستخدام كلمة المرور (pinky)‏ واحفظ ال مخرجات 
في املف (opt/book/encryption/results/plans.aes/)‏ 


.Y‏ قم بفك تشفير الملف (encrypted. aes)‏ باستخدام كلمة اممرور (brain)‏ واحفظ 
ا مخرجات في املف (opt/book/encryption/results/plaintext.txt/)‏ 


النتائج المطلوب تسليمها: قم بتسليم محتويات الملف (plans.aes)‏ وملف plaintext)‏ 
(txt‏ إلى أستاذ المادة. 


أمن المعلومات وإدارة مخاطر تقنية ال معلومات ۳۷۹ 


الفصل السابع 


التشفير بالمفتاح العام باستخدام (©7)62": 

(GPG)‏ هي اختصار ل (GNU Privacy Guard)‏ وهو برنامج مجاني بديل لبرنامج 
Pretty Good Privacy (PGP)‏ والذي يستند إلى معيار .(OpenPGP)‏ لکن هذا يقودنا 
إلى السؤال التالي: ما هو برنامج S(PGP)‏ 

تم تطوير برنامج (PGP)‏ من قبل فيليب زهرمان à (Phillip Zimmerman)‏ عام 
.0١‏ وكان (PGP)‏ أول برنامج تشفير تم بناؤه على خوارزمية التشفير بالمفتاح العام ها 
في ذلك خوارزمية (RSA)‏ والتي ناقشناها في هذا الفصل. وبسبب قضايا براءات الاختراع 
تم إنشاء معيار (OpenPGP)‏ وذلك لتحديد صيغ البيانات القياسية للتشغيل المتبادل بين 
برمجيات التشفير. (GPG) axis‏ واحداً من أكثر البرمجيات شيوعاً والتي تم تطويرها Ls‏ 
على هذا المعيار. ويس مح لك برنامج (GPG)‏ بتشفير البيانات» والتوقيع عليهاء وإرسالها 
إلى الآخرين بحيث يستخدم هؤلاء الأشخاص الفتاح العام الذي توفره لهم لفك تشفير 
البيانات. 

ولاستخدام التشفير بالمفتاح العام قمنا باستحداث زوج من امفاتيح. ويتوجب de‏ 
مشاركة المفتاح العام كما يتوجب عليك استخدام زوج ال مفاتيح للتشفير وفك التشفير. 


استحداث | لمفاتيح: 


الخطوة الأولى في نظام التشفير بالمفتاح العام هي توليد زوج المفاتيح (العام/الخاص). 
ويوفر برنامج (GPG)‏ مفتاح (genkey)‏ والذي سيقوم بهذه العملية. 


[alice8sunshine ~]$ gpg --gen-key 
gpg (GnuPG) 2.0.14; Copyright (C) 2009 
Free Software Foundation, Inc. 


This is free software: you are free to 


change and redistribute it. 


There is NO WARRANTY, to the extent per- 


mitted by law. 





(YY)‏ نتقدم بالشكر ل «كلايتون ايتلو» (Clayton Whitelaw)‏ وهو طالب في كلية علوم الحاسب الآلي وعضو في نادي 
طلاب (Whitehatters)‏ في جامعة جنوب فلوريداء على تأليفه للنسخة الأولية من هذا القسم. 


۸۰ أمن المعلومات وإدارة مخاطر تقنية المعلومات 





وسوف يطلب منك أن تختار أي نوع من المفتاح الذي تريده للتوقيعات الرقمية 
والتشفير. اختر الخيار الافتراضي and RSA)‏ 154). وبعد ذلك سيطلب منك اختيار 
حجم المفتاح. والحجم الافتراضي هو ۲١٤۸‏ بت. وبإمكانك بأمان اختيار هذا الخيار. بعد 
ذلك ستختار طول صلاحية المفتاح. وفي حالات الواقع العملي هذه القيمة تكون بين سنة 
وخمس سنوات» لكن لهذا التمرين لا حاجة لتحديد مدة زمنية لصلاحية المفاتيح. 


Please select what kind of key you want: 
(1) RSA and RSA (default) 
(2) DSA and Elgamal 
(3) DSA (sign only) 
(4) RSA (sign only) 
Your selection? 1 
RSA keys may be between 1024 and 4096 bits 
long. 
What keysize do you want? (2048) 2048 


Requested keysize is 2048 bits 


Please specify how long the key should be 


valid. 
0 = key does not expire 
«n» - key expires in n days 
«n»w - key expires in n weeks 
«n»m - key expires in n months 
«n»y - key expires in n years 
Key is valid for? (0) 0 
Key does not expire at all 


Is this correct? (y/N) y 





بعد ذلك سيطلب منك اختيار اسم للمفتاح» وعنوان البريد الإلكترونيء والملاحظات. 
وبإمكانك استخدام اسمك الحقيقي وعنوان بريدك الإلكتروني الفعلي في هذا التمرين. أما 


أمن المعلومات وإدارة مخاطر تقنية المعلومات YAN‏ 


الفصل السابع 


بالنسبة للملاحظات فبإمكانك كتابة اسم ا منظمة-مثلاً (Sunshine State University)‏ 
وسيقوم (GPG) gab»‏ باستخدام ا ملاحظات لإنشاء زوج ell‏ 


GnuPG needs to construct a user ID to 


identify your key. 


Real name: Alice Adams 
Email address: alicegsunshine.edu 
Comment: Sunshine State University 
You selected this USER-ID: 

«Alice Adams (Sunshine State» 
University) «alice?sunshine.edu»» 
Change (N)ame, (C)omment, (E)mail or (O) 


kay/(Q)uit? O 





ستحتاج إلى إدخال كلمة مرور. كما سيظهر لك مربع حوار مشابه ما في الشكل ((/ا-6١).‏ 
eral‏ كلمة رور تتميز بأنها آمنة Sco‏ تذكرها. وأخيرا gatdi la o‏ باستحدات 
المفاتيح الخاصة بك. ولزياد فاعلية ا مفتاح» من الجيد أن تقوم بتحريك الفأرة في اتجاهات 
عشوائية» أو أن تقوم بتنفيذ بعض ال مهام على جهاز الحاسب الآلي في حين يقوم البرنامج 
باستحداث المفاتيح. وقد يستغرق استحداث المفاتيح ثواني أو دقائق لأن ذلك يختلف 
lise‏ كيرا فعا دة dals‏ 

وبمجرد اكتمال هذه العمليةء فإنك تكون استحدثت أول زوج مفاتيح خاص بك. 


نحتاج إلى توليد الكثير من وحدات البايت العشوائية. ومن ثم فمن الجيد أن تقوم بتنفيذ بعض الإجراءات 


الأخرى (كالطباعة على لوحة المفاتيح» وتحريك الفأرة. واستخدام الأقراص) خلال الاستحداث الأولي للمفاتيح. 
وهذا يعطي مولد الأرقام العشوائي فرصة أفضل للحصول على ما يكفي من العشوائية. 





YAY‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


gpg: key 981000835 marked as ultimately 


trusted 

public and secret key created and signed. 
gpg: checking the trustdb 

gpg: 3 marginal(s) needed, 1 complete(s) 
needed, PGP trust model 

gpg: depth: 0 valid: 1 signed: 0 trust: 
0-, 0q, On, Om, Of, 1u 

pub 2048R/14382D17 201201-12- 

Key fingerprint = B317 3F83 705B 
889D B414 7DFO A3CI1 B094 7E5B 6F3F 
uid Alice Adams (Sunshine State 
University) «alice?sunshine.edu» 


sub 2048R/C8761A AB 201201-12- 





ما قمنا به في الأقسام السابقة هو إنشاء زوج مفاتيح» ومكان هذا الزوج في مجلد مخفي 
يدعى (gnupg)‏ في الدليل الرئيسي. وهذا المجلد مع بعض ال محتويات الأخرى Le‏ في ذلك 
(secring. gpg)s (pubring. gpg)‏ تحتوي على e ALI‏ العام والمفتاح الخاص على التوالي. 
وكلا ا ملفين محفوظ في صيغة ثنائية (binary format)‏ ومن ثم لا يمكنك قراءة محتوياتها 
لكن برنامج (GPG)‏ يستطيع تفسير هذا ال ملف وعرض المعلومات التي تحتاج إليها. 


الشكل :)١5-1/(‏ مربع حوار كلمة ال مرور لبرنامح (GPG)‏ 
pinentry-gtk-2‏ 





Cance QK 


أمن المعلومات وإدارة مخاطر تقنية المعلومات YAY‏ 


الفصل السابع 


مشاركة المفاتيح: 
لعرض المفاتيح العامة المحفوظة في حافظة المفاتيح التابعة لبرنامج (GPG)‏ اكتب الأمر التالي: 


[alice8sunshine -]$ gpg --list-keys 


/home/alice/.gnupg/pubring.gpg 


pub 2048R/14382D17 201201-12- 
uid Alice Adams (Sunshine 
State University) «alicesunshine.edu» 


sub 2048R/C8761A AB 201201-12- 





ولعرض المفاتيح iol‏ اكتب الأمر التالي: 


[alice8sunshine ~]$ gpg --list-secret-keys 
/home/alice/.gnupg/secring.gpg 


sec 2048R/14382D17 201201-12- 
uid Alice Adams (Sunshine 
State University) «alicesunshine.edu» 


ssb 2048R/C8761AAB 201201-12- 





وقبل أن تتمكن من تبادل البيانات المشفرة مع الآخرينء عليك أن تفعل شيئين: أعط 
الآخرين نسخة من اممفتاح العام التابع «SU‏ وقم باستيراد نسخة من ال e UA‏ العام التابع لهم 
.(GPG) gab» à‏ ولتصدير e AL‏ العام التابع لك كملف نصي قم يما يلي: 
[alice8sunshine ~]$ gpg -a -o /tmp/alice .‏ 


adams.pub --export 


[alice@sunshine ~]$ head /tmp/alice_ 


adams.pub 


Version: GnuPG v2.0.14 (GNU/Linux) 





AE‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


mQENBFC6Q/MBCACjZH9O43XeK8TfDXVWO084xmr2 


lgiLsv7drbT9poQiuHmHrnbAm 
I/dm-«nTIOn4qI8d-*qTn00WUsa9HD--N5sAsAHKYIS 
kkmWegg/rtP8NtaH84/qqKSQN 
ktmd/zxfyNgJ4fTHhfqJA6RuHoKuFla--MMqKzR4u 
*ZSjxgmHl4tbSBph2-- YgmMp8 
fqLH18i4fSEoG5jZ6VciPw8KAyZvVIsC5TyOfX- 


W67UUSQJ7bEZaejxMtrhecFAF/ 





الآن إذا تم تصدير المفتاح العام التابع U‏ يتوجب عليك أن تعطيه للشخص الذي 
ستتبادل المعلومات معه. وعمليا سيتم إرسال المفتاح عبر البريد الإلكتروني إلى الطرف 
الآخرء أو يتم مناولة المفتاح يدا بيد إلى المستلم في الحالات الأمنية المشددة للغاية. 


ملاحظة: 
إذا كان لديك مفاتيح متعددة, مثلاً مفتاح للاستخدام الشخصي وآخر لاستخدام العمل يمكنك تحديد أي مفتاح 


تريد أن تدرج باستخدام الرمز «user» (u-)‏ حيث «user»‏ هو عنوان البريد الإلكتروني للمفتاح الذي تريد 


استخدامه. 





في حالتنا هذه قد تم بالفعل نقل ا مفتاح إلى مستخدم آخر في جامعة ولاية الشمس 
المشرقة وهو (bobesunshine.edu)‏ كما قام هذا ال مستخدم باستيراد المفتاح وحفظه في 
حافظة المفاتيح التابعة لبرنامج (GPG)‏ وقام بوب (Bob)‏ أيضاً باستحداث زوج المفاتيح 
وأخبرنا بأنه يمكننا الحصول عليها في (home/bob/public html/bob brown.pub/)‏ أو 
.(http://www.sunshine.edu/-bob/bob brown.pub)‏ لذلك لدينا خيارين لاستيراد 
المفتاح العام التابع لبوب: استيراد ملف من نظام الملفات ا محلي كما يلي: 


أمن المعلومات وإدارة مخاطر تقنية ال معلومات A0‏ 


الفصل السابع 


[alice8sunshine ~]$ gpg --import /home/ 
bob/public html/bob brown.pub 


gpg: key 31003816: public key «Bob Brown 


(Sunshine State University) 
«bobGsunshine.edu»» imported 
gpg: Total number processed: 1 


gpg: imported: 1 (RSA: 1) 





أو استيراد الملف من خادم الشبكة البعيد كالتالي: 


[alice8sunshine ~]$ gpg --fetch-keys 
http://www.sunshine.edu/-bob/bob brown. 
pub 

gpg: key 31003816: public key «Bob Brown 
(Sunshine State University) 
«bobGsunshine.edu»» imported 

gpg: Total number processed: 1 


gpg: imported: 1 (RSA: 1) 





وف كلتا الحالتين سيكون لديك المفتاح العام لاستخدامه. 


كن حذراً عند استيراد المفاتيح العامة من مضيف بعيد. والتي تتم عن طريق شبكة الإنترنت أو البريد الإلكتروني. 


يجب أن تتأكد من حصولك على المفتاح العام الصحيح, وأنه لم يتم العبث به أو تعديلهء قبل استخدامك ob]‏ 
في أي اتصال آمن. 





وإذا قمت بتشغيل الأمر (gpg - - list-keys)‏ مرة 852« فسوف تجد امفتاح العام 
التابع ل (Bob Brown)‏ في قائمة المفاتيح المتاحة: 


۸1 أمن المعلومات وإدارة مخاطر تقنية المعلومات 


[alice8sunshine -]$ gpg --list-keys 
/home/alice/.gnupg/pubring.gpg 


pub 2048R/14382D17 01-12-2012 
uid Alice Adams (Sunshine 
State University) 
«alicegsunshine.edu» 


sub 2048R/C8761AAB 01-12-2012 


pub 2048R/310C3E16 01-12-2012 


uid Bob Brown (Sunshine State 
University) 
«bobGsunshine.edu» 


sub 2048R/1EA93238 01-12-2012 





الك ف وفك الت ف : 

وها أنك الآن تملك المفتاح العام» ستكون قادرا على تشفير الرسالة بالطريقة التي تم 
تصميمها لمستلم معين. وللتوقيع على ملف وتشفيره» عليك أولا حفظه في هيئة ملف نصي 
(لأن الصيغة الافتراضية هي الصيغة الثنائية). ثم استخدم المفتاح (a)‏ والمفتاح (e)‏ وقم 
بتحديد الشخص الذي سيستخدم (ال مفتاح العام) وذلك عن طريق (r) ghabl‏ كما يلي: 


أمن المعلومات وإدارة مخاطر تقنية المعلومات YAN‏ 


الفصل السابع 


[alice8sunshine ~]$ gpg -s -a -r bob? sun- 


shine.edu -e hello.txt 

you need a passphrase to unlock the secret 
key for 

user: «Alice Adams (Sunshine State 
University) <alice@sunshine.edu>» 


2048-bit RSA key, ID 14382D17, created 
01-12-2012 





بعد ذلك يقوم برنامج (GPG)‏ بعرض مربع حوار لإدخال كلمة مرور اليس (Alice)‏ 
التابعة للمفتاح الخاص. ومجرد إدخال كلمة ال مرور يقوم برنامج (GPG)‏ بفحص حافظة 
المفاتيح بحثا عن ال e UA‏ العام التابع ل :(bob@sunshine.edu)‏ 


gpg: 18493238: There is no assurance this 


key belongs to the named user 


pub 2048R/1EA93238 01-12-2012 Bob Brown 
(Sunshine State University) «bobgsun- 
shine.edu» 

Primary key fingerprint: 599F 4790 E781 


ADBF 1850 F120 2851 B871 310C 3E16 


Subkey fingerprint: 26BF DCFC 0A62 7224 


9D20 5DE5 9734 4560-4 1EA9 3238 





YM‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


It is NOT certain that the key belongs to 


the person named in the user ID. If you 


*really* know what you are doing, you may 


answer the next question with yes. 


Use this key anyway? (y/N) y 


ويقوم برنامج (GPG)‏ بإصدار تحذير بأن مفتاح بوب (Bob)‏ قد لا يكون جديراً بالثقة 





لأنه تم استيراده حديثاء وف الوقت ذاته لا يوجد معلومات في حافظة المفاتيح التابعة 
لبرنامج GSE (GPG)‏ استخدامها للتحقق من صحة ال مفتاح. يمكنك بأمان أن تتجاهل هذه 
الرسالةء لكن إذا كنت تخطط لاستخدام برنامج (GPG)‏ في عملكء فعليك sole‏ دليل 
الخصوصية التابع ل (GNU)‏ وذلك للحصول على مزيد من المعلومات حول بناء «شبكة 
من الثقة» (Web of Trust)‏ في إدارة المفاتيح. 


[alice2sunshine - [5 cat hello.txt.asc 


Version: GnuPG v2.0.14 (GNU/Linux) 





(24) https://www.gnupg.org/gph/en/manual.html 


أمن المعلومات وإدارة مخاطر تقنية المعلومات Yaa‏ 





الفصل السابع 


hQEMAScOpsQeqTI4AQgAgp]AZAhiN93q* DdZ2ETg 
nmlib*ciecRGmNtI4C5SKMzPm 
bCWusO0cqmtLWEL6Dj40M90HBG9Di- 
iNKxrxKdjAneh9i/AYVf3/UleyWO0Zb2dL/ 

dC 

veCxIkNaGLCtKjV0967ew/ 
JsHBQbV12jXRnqN61Irmp/ 
edFIQZI1tbXymXlcnfg3vm 
aRKnK$SsXVa0qOHxPPnO-«skP6tFbMT/ 
q/5FIDfpIf9NYImVLJDiMNQGpyy2/ 
ZZyKk 

90PWxBsQC90CcW TfJqwjCIwPd4Ck2YOr-*q6u36YR 
hz8cLwoM9I3MR2xVbtdEITGy 
Zd20gWZImTRBxhKWY V7uVDre095Y4FNIZzbzADZI 
KaNLAwgGGslcOrrCI4gpSkGIb 
Dbvhulrl1r2rKeBRxR3dbQ--xb6Wm98S8v8440VSLDD 
DA4f3TZFc6*-/qUIAW7fU9Xu/1 
4nqN4nu9NCQLgWmZyLUr8RIryOtVxHQwhOQl- 
2w6t34b0IZJvjLGzkmM589fwWNo 
ggE3krRiBvAE17z101Ncqn/zu5bfc6BUD2Okc- 
36Qg56NUzvydGM3xgK2FRwgOfhr 
7TrsJp/9R-wXV6EGfTuoToA/ 
p1WY5311952I2ZWrd7e2nwm6umeaKxgzgO4hrC9zS 
k5761CUiOcPyhwWBHQQdK8UtssmBH 1 +tt2h Ea6H+b 
TfIOIOZptMU64NCG3rWgrI17 
NWntq9wwWOQOTsSagqCalthLFM47ni/ 
mKe51Kay9LckNUmm 
5PC8yAA4oti5jnplaW4]w 
xRFvTSoRXHS5ARIPCIINOoNi-4*51X-4jd8y9AB2096s2 
x-BQFuCmG25K/Z7E2BoJjsV V 
zf/qg6yQTbgPmvG83]yvev71ykXd7TfKZGs4UIKq 
K+grJda8 

=BxNI 





۳۹۰ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


والآن بعد أن قمت بتشفير رسالة إلى بوب (Bob)‏ وقمت بالتوقيع عليها بالمفتاح الخاص» 
حان الوقت بالنسبة لبوب (Bob)‏ لفك تشفير الرسالة. وبالإمكان تبديل ال مستخدمين إلى 
حساب بوب (Bob)‏ ومن ثم فك تشفير ال ملف لاختبار هذه العملية. 


[alice2sunshine ~]$ su - bob 
Password: 
[bobGsunshine -]$ gpg -o hello.txt 


--decrypt -alice/hello.txt.asc 


You need a passphrase to unlock the secret 


key for 

user: «Bob Brown (Sunshine State 
University) «bobsunshine.edu»» 
2048-bit RSA key, ID 1EA93238, created 


201201-12- (main key ID 310C3E16) 





ويجب أن تشاهد الآن مربع حوار ]5 JU‏ كلمة ال مرور. وعند إدخال كلمة مرور بوب 
(Bob)‏ التابعة للمفتاح الخاص «(bisforbanana)‏ سيتم فك تشفير ال ملف لكن ستتلقى 
رسالة تفيد بوجود خطأ عند التحقق من التوقيع: 


gpg: encrypted with 2048-bit RSA key, ID 
1EA93238, created 201201-12- 

«Bob Brown (Sunshine State University) 
«bobGsunshine.edu»» 


gpg: Signature made Sun 02 Dec 2012 


10:37:18 AM EST using RSA key ID 14382D17 


gpg: Can't check signature: No public key 





ويجب أن يقوم بوب (Bob)‏ باستيراد ا مفتاح العام التابع لأليس (Alice)‏ قبل التحقق 
من التوفيع الموجود على الملف: 


أمن المعلومات وإدارة مخاطر تقنية المعلومات YA‏ 


الفصل السابع 


[alice8sunshine ~]$ gpg --import /tmp/ 


alice adams.pub 

gpg: key 143821017: public key «Alice 
Adams (Sunshine State University) «alice? 
sunshine.edu»» imported 

gpg: Total number processed: 1 


gpg: imported: 1 (RSA: 1) 





قم بتجريب أمر فك التشفير مرة أخرى وفي هذه المرة سيتم فك التشفير وسيتم حفظ 
المحتويات في ملف (hello. txt)‏ بعد ذلك سيقوم برنامج (GPG)‏ بالتحقق من التوقيع: 


gpg: Signature made Sun 02 Dec 2012 
10:37:18 AM EST using RSA key ID 14382D17 
gpg: Good signature from «Alice Adams 
(Sunshine State University) «alicegsun- 
shine.edu»» 

gpg: WARNING: This key is not certified 
with a trusted signature! 

gpg: There is no indication that 

the signature belongs to the owner. 
Primary key fingerprint: C42E 0E23 08A1 
8116 019A AAB3 2D73 7113 1438 2D17 





ومرة أخرى يقوم برنامج (GPG)‏ بإصدار إنذار لأن حافظة المفاتيح التابعة لبرنامج (GPG)‏ 
ليس لديها معلومات كافية للتحقق من الممفتاح العام التابع ل (alice&sunshine.edu)‏ 
وبمجرد الانتهاء من التحقق من التوقيع» بإمكانك التأكد من أن محتويات الملف الذي تم 


[ bobgsunshine ~]$ cat hello.txt 


Hello World! 





yay‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


اسئلة: 

.١‏ قم باستحداث زوج من المفاتيح العامة والخاصة باستخدام اسمك وعنوان بريدك 
الإلكتروني, وق حقل الملاحظات استخدم اسم جامعتك. 

؟. قم بتصدير المفتاح العام وحفظه كما يلي:  lopt/book/)‏ 
(encryption/results/key.pub‏ 

opt/book/encryption/public-/) العام المحفوظ في ملف‎ e Gall قم باستيراد‎ .Y 
(key/eric pierce.pub 

€. اذكر اطفاتيح العامة والخاصة ال مخزنة في حافظة اطفاتيح التابعة لبرنامج (GPG)‏ 
واحفظ ال مخرجات كما يلي على التوالي: opt/book/encryption/results/public-)‏ 
(opt/book/encryption/results/private-keyring. txt) (keyring.txt‏ 

0. قم بتشفير الملف التالي والتوقيع عليه (home/alice/hello. txt/)‏ 
باستخدام ال مفتاح العام الذي قمت باستيراده في الخطوات السابقة 
واحفظ المخرجات كما يلي )/ /opt/book/ encryption/results‏ 
(encrypted.asc‏ 

النتائج المطلوب تسليمها: قم بتسليم محتويات الملفات التالية إلى أستاذ المادة: 


(key.pub).s(public-keyring.txt). s(private-keyring.txt.).9(encrypted.asc). 


تمرين التفكير النقدي - مفاتيح التشفير المتضمنة لنماذج العمل: 

في هذا الكتاب لم نقض الكثير من الوقت في نقاش الحوسبة السحابية وبالتحديد المخاطر 
ا منبثقة من وضع الكثير من البيانات في السحابة. هل تعلم أين تكون بيانات بريدك 
الإلكتروني التابع ل S(Gmail)‏ أو هل تعلم أين تحفظ شركة مايكروس وفت الملفات التي 
تقوم أنت بتخزينها في خدمة (Sky Drive)‏ 

رما أنك لا تهتم كثيراً بذلك. وهذا هو الشيء المعقول الذي يقوم به كثير من الناس. 
إن الشركات ستخسر الكثير في حال فقدها لثقة الجمهور. لذا فإن نموذج العمل الحالي 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات ۹۳ 


الفصل السابع 


قائم أساسا على أن المستخدمين يثقون في مقدمي الخدمات السحابية المجانية مع إيمانهم 
بأن مزودي الخدمات السحابية قد يلقون نظرة خاطفة على محتويات الملفات لأغراض 
محدودة. ويبدو أن تخصيص الإعلانات عبر الإنترنت أحد هذه الأغراض ال معقولة. ومن ثم 
تتم مقايضة خدمة التخزين السحابية المجانية في مقابل الإعلانات عبر الإنترنت. 

لكن ومنذ الكشف عن التعاون بين مزودي خدمات الحوسبة السحابية وبين وكالة الأمن 
القومي (NSA)‏ بدأ بعض المستخدمين بالشعور بالقلق إزاء خصوصية معلوماتهم. ما 
الذي يستطيع المستخدمون فعله إذا ما زالوا يرغبون ف الاستفادة من الخدمات السحابية؟ 

مما قرأناة فى هذا الفصل يبدو أن الحل سهل. Ule‏ وتكفل مقدمو الخدمات toladi‏ 
بالتشفير. أي أن من هلك مفاتيح تشفير البيانات هم مقدمو الخدمات السحابية وليس 
أصحاب البيانات. وهذا يسمح لمقدمي الخدمات السحابية برؤية بياناتك sU‏ على طلبهم. 
ومن ثم فإن ملكية مفاتيح التشفير من قبل مزودي الخدمة تتضمن نموذج العمل التالي: 
(الإعلان في مقابل التخزين). 

وإذا أردت منع ذلك بإمكانك تشفير بياناتك قبل رفعها إلى مزود الخدمة السحابية. 
وبعد ذلك ستكون أنت ا مسؤول عن إدارة المفاتيح لأنك إذا فقدت مفاتيح فك التشفير فلن 
نکن 15388 على 341 abus‏ 


Falkenrath, R. «Op-ed: encryption, not restriction, is the key to safe cloud computing,» 


http://www.nextgov.com!cloud-computing12012/10O/op-ed-encryption-not- 
restriction-key-safe-cloud-computing/586081 (accessed 0711812013 


Amazon Web Services, «Using client-side encryption,» http://docs.aws.amazon.co 


mlAmazonS3/latestldevlUsingClientSideEncryption.html (accessed 07118/2013) 


Schneier, B. Cryptogram, November 15,2012 


yae‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


أسئلة على تمرين التفكير النقدى: 

(Gmail) العديد من خدمات الحوسبة السحابية المشهورة مثل الجيميل‎ e .١ 
مجانا لأن المستخدمين يسمحون بالإعلانات التجارية في مقابل الخدمات المجانية.‎ 
في اعتقادك كيف سيكون تطور سوق الخدمات السحابية إذا تم تشفير الكثير من‎ 
البيانات بحيث لا يتمكن مزودو الخدمات السحابية من الاستفادة المالية من بياناتك‎ 
عن طريق الإعلانات التجارية؟‎ 

Y‏ ما هي بعض الاهتمامات الخاصة للجهات المنظمة مثل الوكالات الحكومية عندما 
يتعلق الأمر بالحوسبة السحابية؟ (الموقع الإلكتروني ل (Nextgov op-ed)‏ يوضح 
بعض الأمثلة على ذلك). 


تصميم حالة: 

يعد قسم القبول في جامعة ولاية الشمس الممشرقة نشط للغاية في مجال استقطاب 
الطلاب. ويقوم القتسم بصورة دورية بزيارات للمدارس الثانوية ال محلية بهدف الترويج 
لبرامج الجامعة. كما يقوم القسم في كثير من الأحيان بجمع معلومات الطلاب الشخصية 
بهدف مساعدتهم في التقديم على ام منح الدراسية» والمساعدات «JUL‏ والفرص الأخرى. 

ومن أجل تسجيل كل هذه المعلومات» يقوم الموظفون أثناء زيارتهم بحمل أجهزة 
الحاسب الآلي ا محمولة التابعة للجامعة. ومؤخرا تعرضت إحدى سيارات هؤلاء الموظفين 
للسطو والسرقة. ولحسن الحظ فإن الجاني مم يسرق جهاز الحاسب JYI‏ المحمول الذي كان 
في صندوق السيارة (والذي يحتوي على 2٠١‏ رقم من أرقام الضمان الاجتماعي للطلاب). 

ولأنك خبير في أمن المعلومات. تواصل معك رئيس الجامعة ليسألك عن رأيك فيما هكن 
عمله لجعل أجهزة الحاسب الآلي ا محمولة أكثر أمنا. وأثناء قراءتك لقوانين الولاية أدركت 
أنه في حال تشفير كامل القرص في أجهزة الحاسب الآلي المحمولة فإن سرية المعلومات 
الواردة في الأجهزة ستكون محمية ومن ثم لا حاجة للإبلاغ عن الحادثة. 


أمن المعلومات وإدارة مخاطر تقنية المعلومات Yao‏ 


الفصل السابع 


اكتب توصياتك لرئيس الجامعة في صفحة واحدة بحث تغطي المعلومات الواردة في 
الفقرة السابقةء وتناقش موضوع شراء الجامعة لحلول تساعد على تشفير كامل القرص. 
ويجب أن يشمل تقريرك معلومات حول ما يلي: 


m 


Y 


۹71 


تقرير عن المتطلبات القانونية Jib‏ هذا التشفير في الجامعات الحكومية ف ولايتك. 
العطوظ hs js]‏ حول متطلاقك لهذا qid‏ 


القيام ببعض البحث على الإنترنت حول العروض المشهورة لهذا المنتج بحيث يتضمن 
ما لا يقل عن ثلاثة من ال موردين. 


اشرح الفرق بين تشفير الملفات وتشفير كامل القرص. 


(مع الأخذ بعين الاعتبار الأمور التي يستطيع كل من تشفير الملفات وتشفير كامل 
القرص حمايتها). 


ما أنظمة التشغيا التي ستركز عليها في نقاشك؟ 
كيف سيتم استرداد مفتاح فك التشفير في حال ضياعه؟ 


أمن المعلومات وإدارة مخاطر تقنية المعلومات 


الفصل الثامن 
إدارة الهوية والوصول 


نظرة عامة: 

في هذا الفصل (AL s‏ نظرة على أكثر الآليات شيوعاً في تحديد المستخدمين وإدارة 
امتيازاتهم في الأنظمة المؤسساتية. وتتسم الأنظمة التي سوف نناقشها بالعديد من الميزات 
ا مشتركة. لكن تم تطوير كل نظام منها للاستجابة لاحتياجات محددة وظروف معينة. وفي 
نهاية هذا الفصل يجب أن تعرف: 

٠‏ الفرق بين إدارة الهوية وإدارة الوصول. 

٠‏ مراحل نماذج إدارة الهوية وإدارة الوصول. 

٠‏ الفئات الثلاث لبيانات اعتماد المستخدم. 


٠‏ نقاط القوة ونقاط الضعف النسبية للتقنيات الرئيسية للمصادقة. 


إدارة الهوية: 

إدارة الهوية هي عمليات تحديد هوية الأفراد وجمع كل البيانات اللازمة لمنح أو إلغاء 
امتيازات مستخدمي الموارد الحاسوبية. ويعد نظام (اسم المستخدم) و(كلمة المرور) الذي 
تستخدمه على جهاز الحاسب الآلي المحمول الخاص بك مثالا لنظام إدارة الهوية. وفي 
المنظمات الكبيرة أصبحت العمليات الرسمية ضرورية لإدارة أعمال المستخدمين الكثيرة 
باستخدام الأنظمة الحاسوبية. وبالاعتماد على مثال من جامعة حكومية نموذجية. ففي 
كل يوم هناك المئات من الأنشطة. مثل انضمام الطلاب للجامعة» وترك الطلاب للجامعةء 
والحصول على عمل في الحرم الجامعي» وتغيير في وظائف الموظفين في الحرم الجامعي. فكل 
هذه الأحداث تؤثر في المعلومات التي يجب أن يسمح لهؤلاء ا مستخدمين بالوصول إليها. 
فالعمليات البسيطة المتبعة مع جهاز الحاسب الآلي المنزلي يجب أن يحل محلها أنظمة 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات ۳۹۷ 


الفصل الثامن 


رسمية للتأكد أن كل شخص لديه معلومات حديثة في هذه البيئة الديناميكية وذلك دون 
المساس بالمعلومات التي لا ينبغي لهم الوصول لها. وتقوم أنظمة إدارة الهوية بالمهام 
اللازمة لتحقيق هذه الأهداف. 

ويتم تخزين معلومات المستخدمين في نظام السجلات .(system of record)‏ وبناء 
على قانون الخصوصية لعام (US Privacy Act) ۱۹۷٤٩‏ يعرف نظام السجلات بأنه 
السجلات التي يمكن من خلالها استرداد المعلومات بالاسم» أو رقم الهويةء أو الرمزء أو 
أي مُعرّف مُحدد على وجه الخصوص للفرد. ولا يجب أن يكون نظام السجلات مفصلاً 
جدا. وتعد لوحة المستخدم في جهاز الحاسب الآلي المعتمد على نظام ويندوز أحد أمثلة 
نظام السجلات. كما يمكن اعتبار قواعد بيانات الموارد البشرية والرواتب أحد أمثلة نظام 
السجلات. ففي المنظمات الكبيرة قد تكون قواعد البيانات تلك جزءاً من نظام تخطيط 
موارد المؤسسة (ERP system)‏ لكن في المنظمات الصغيرة قد تكون قواعد البيانات تلك 
على شكل جداول بيانات إكسل (Excel spreadsheet)‏ 

وبا مثل فإن نظام معلومات الطالب الجامعي هو مثال على نظام السجلات لبيانات 
الطلاب. وكقاعدة عامة يتم إنشاء نظام السجلات لحفظ البيانات لغرض محدد أو مجموعة 
محددة من الأشخاص. على سبيل المثال يتم العثور على معلومات حول الطالبة التي تعمل 
في الجامعة في نظام سجلات الطلاب ونظام سجلات الموظفين. ومن ثم فإنه من الشائع أن 
يكون لشخص منفرد عدة هويات في أنظمة سجلات متعددة في الوقت ذاته. 

وفي نظام السجلات. الهوية هي سجل محدد محفوظ في نظام السجلات. إذاً فإن ما 
نسميه عادة «مستخدم جهاز الحاسب الآلي» يُطلق عليه «هوية» في عام أمن المعلومات. 
Lal‏ اعرف فهو عبارة عن سلسلة من الأرقام التي تَعرّف بشكل فريد الهوية في نظام 
السجلات. 

وتتعامل أنظمة إدارة الهوية مع التعقيدات المتعلقة بمزامنة الهويات مع أنظمة 
السجلات. وتعمل هذه الأنظمة في مراحل ثلاث (الشكل (V-A‏ لجمع كل المعلومات اللازمة 
لإدارة الهويات - اكتشاف الهوية» ملاءمة الهويةء وإثراء الهوية. وفي نهاية هذه العملية 


(1) http://www.justice.gov/opcl/privstat.htm 


YAA‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 





إدارة الهوية والوصول 


Lasi‏ على سجل الشخص (Person Registry)‏ مع معلومات عملية حول اممستخدمين في 
ا منظمة. 


المرحلة الأولى: اكتشاف الهوية: 

تبدأ lol‏ الهوية بمرحلة الاكتشاف» حيث يتم إيجاد جميع الهويات الجديدة والمحدثة في 
جميع أنحاء المنظمة. وفي هذه المرحلة يقوم نظام إدارة الهوية بجمع كل المعرفات الجديدة 
Dass‏ ق ج dali]‏ ننه جلاك وات taedis cela aM‏ فال وان و سات 
تواريخ الميلاد أو المعرفات كلها أمور شائعة الحدوث ويجب أن يتم اكتشافها. وتختلف 
تعقيدات هذه المرحلة إلى حد كبير على حجم المنظمة. ففي المنظمات الصغيرة ذات 
التسرب الوظيفي المنخفضء يمكن أن تكون هذه العملية يدوية بالكامل عندما يتم التعاقد 
مع الموظف أو إنهاء code‏ يتم تحديث بيانات الموظف ف قاعدة بيانات الموارد البشرية 
وإدخالها يدوياً في نظام إدارة الهوية. لكن في المنظمات الضخمة قد تتضمن هذه العملية 
نُظماً آلية متعددة تقوم بجمع آلاف الوحدات من البيانات من عشرات من الأنظمة أو JST‏ 
ويتم ذلك عدة مرات في يوم واحد. وبغض النظر عن الطريقة» ففي نهاية مرحلة اكتشاف 
الهوية نحصل على قائمة مُعرّفات جديدة أو Dn‏ من جميع نظم السجلات في المنظمة. 
وتمثل هذه القائمة مدخلات المرحلة القادمة من عملية إدارة الهوية - ملاءمة الهوية. 


المرحلة الثانية: ملاءمة الهوية: 
بمجرد أن يتم تجميع قائمة المعرفات الجديدة والمحدثة: يمكننا القيام بملاءمة الهوية. 


وملاءمة الهوية هي عملية مقارنة كل هوية مكتشفة مع سجل رئيسي وذلك لجميع 
الأشخاص في المنظمة. 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات ۳۹۹ 


الفصل الثامن 


الشكل :)١-۸(‏ إدارة الهوية والوصول 
ë Oad - L—‏ لصت 


المرحلة الأولى: 
اكتشاف الهوية 


إدارة الوصول 








































المرحلة الثالثة: 
إثراء الهوية 

















ولإيضاح أهمية ملاءمة الهوية» افترض قيام جامعة ولاية الشمس المشرقة بالتعاقد مع 
عضو هيئة تدريس جديد. يتم إدخال البيانات التالية في قاعدة بيانات الموارد البشرية في 
الجامعة: 


القسم تاريخ الميلاد اسم العائلة الاسم الأول الرقم التعريفي 
علم الآثار ا جونز هنري YYoVa‏ 


وبعد بضع سنوات قرر الدكتور جونز (Dr. Jones)‏ أن يدرس في وقت فراغه وقرر أن 
يسجل مادة من قسم الأحياء. وبناء على ذلك يتم إدخال البيانات التالية في نظام معلومات 


الطالب: 
الصف تاريخ الميلاد اسم العائلة الاسم الأول الرقم التعريفي 
أحياء AA ٠١١‏ جونز هنري YEM‏ 


فبدون القيام بعملية ملاءمة الهوية فإنه ليس من الواضح إذا كان هناك شخصان 
يحملان اسم هنري جونز (Henry Jones)‏ أحدهما عضو هيئة تدريس والآخر طالب» أو 
أن هناك شخصاً واحداً لكن بأدوار متعددة وذلك عندما يتم جمع المعرفات من أنظمة 
السجلات المتعددة في مكان واحد. 


£e‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


























إدارة الهوية والوصول 


الدور اسم العائلة الاسم الأول الرقم التعريفي 
عضو هيئة تدريس جونز EC‏ 10۷۹ 
طالب جونز هنري YEM‏ 


ومن خلال القيام بعملية ملاءمة الهوية نستطيع معرفة أن كلا السجلين يعود للشخص 
نفسه ال مدعو هنري جونز «(Henry Jones)‏ على النحو التالي: 


تاريخ الميلاد رقم الموظف رقم الطالب اسم العائلة الاسم الأول الرقم التعريفي 


0۷۹ جونز هنري‎ YEM: 0۷۹ AA 


:(Person Registry) الشخص‎ Jow 
معرّف جديد بالإضافة‎ (Henry Jones) السابق فقد صدر لهنري جونز‎ JELI كما ترى في‎ 
إلى معرف الموظف ومُعرّف الطالب التي صدرت من نظام السجلات التابعة لها. وهذا‎ 
المع الثالث يتبع لنظام إدارة الهوية حيث يوجد في قلب معظم أنظمة إدارة الهوية‎ 
و «سجل الشخص» هو ال محور‎ .(Person Registry) الشخص‎ den قاعدة بيانات تدعى‎ 
ا مركزي الذي يربط المعرفات من جميع نظم السجلات في هوية رئيسية واحدةء ويجعل من‎ 

ارتباط وانتقال بيانات الهوية Jio)‏ الرقم الجامعي والرقم الوظيفي) (Saa Tal‏ 

مم يتكون سجل الشخص؟ السجل في حد ذاته هو مجرد قاعدة بيانات بسيطة. وتقوم 
قاعدة البيانات تلك بإصدار مُعرّف فريد لكل شخص يتم استحداثه في قاعدة البيانات. 
لاحظ أن هذه المعرّفات تصدر «لكل شخص» وليس «لكل هوية» كما في نظام السجلات. 
وكما رأينا في JULI‏ أعلاه أنه يمكن أن يكون لكل شخص هويات متعددة في نظام السجلات» 
لكن الهدف من سجل الشخص هو إصدار معرّف واحد لكل شخص. ويحفظ سجل 
uai‏ جميع Coli sl‏ من أنظمة السجلاك المختلفة, GS‏ يحفظ الببانات التعريفية 
الأخرى (كالاسم» وتاريخ Ahl‏ وغيرها) وذلك لكل فرد في المنظمة. 


أمن المعلومات وإدارة مخاطر تقنية المعلومات ^£ 


الفصل الثامن 


وظائف ملاءمة الهوية: 

تتميز عملية ملاءمة الهوية بثلاث وظائف رئيسية: إنشاء الهوية. ومطابقة الهوية, 
ودمج الهوية. وفي الواقع فإنه يُشار أحياناً إلى ملاءمة الهوية في الصناعة بأنها عملية 
«المطابقة والدمج». مطابقة الهوية هي عملية البحث في السجل الحالي للشخص عن 
السجلات التي تتطابق مع مجموعة معينة من بيانات الهوية. وبمجرد العثور على سجل 
gas‏ مطابق OS‏ وظيفة go»‏ المؤية» تدمع aded Ja a]‏ أو المحدك مع البناناق 
لمرتبطة بالسجل الحالي للشخص. وإذا م يتم العثور على تطابق مناسب في سجل الشخص 
فإنه يُفترض أن البيانات المقدمة Jd‏ شخصاً جديداً. وفي هذه الحالة يتم استدعاء وظيفة 
«إنشاء الهوية» والتي تقوم بإنشاء سجل جديد ومعرف جديد تابع له ويكون ذلك في سجل 
الشخص. ويحدث تعارض إذا كانت بيانات الهوية المعينة تتطابق مع هويات متعددة. 
ولحل مشكلة تعارض الهوية يجب على المسؤول تقييم بيانات الهوية المقدمة من قبل نظام 
السجلات» ومن ثم يُقرر ما إذا كانت الهوية جديدة, أو يقوم المسؤول بمطابقة الهوية يدويا 
مع هوية أخرى من الهويات الموجودة في النظام. ويوضح الشكل (Y-A)‏ مخططا انسيابياً 
لعملية المطابقة والدمج. 

وقيترة ino‏ قان cabo diga ass dye aded‏ نارفا كرا وذلك عا ie‏ 
حجم المنظمة وعلى عدد نظم السجلات. وفي أبسط الحالات» وهي المنظمة التي تحتوي 
على نظام واحد للسجلات» فإن عملية ملاءمة الهوية وسجل الشخص لا حاجة لهما. des‏ 
كل حال فإنه بعد الانتهاء من ملاءمة الهويات» يتم الانتقال إلى المرحلة التالية في عملية 
إدارة الهوية وهي إثراء الهوية. 


اذا لا يتم استخدام أرقام الضمان الاجتماعي (social security numbers)‏ کمعرفات à‏ كل الأنظمة؟ 


السؤال الطبيعي في هذه المرحلة: اذا لا نستخدم أرقام الضمان الاجتماعي في كل الأنظمة؟ فأرقام الضمان 
الاجتماعي تصدر بالنتيجة لكل فرد وليس لكل هوية. وهذا من شأنه القضاء إلى حد كبير على الحاجة ملاءمة 
الهوية. 

أحد الأسباب المهمة لعدم استخدام أرقام الضمان الاجتماعي على نطاق واسع هو أن استخدام هذه الأرقام على 
هذا النحو سيخلق lus‏ إضافيا على المنظمة للحفاظ على أمن هذه الأرقام. 





۲ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


إدارة الهوية والوصول 


المرحلة الثالثة: إثراء الهوية: 
حتى هذه النقطة في عملية إدارة الهوية فإن البيانات الوحيدة التي تم جمعها من 
نظام السجلات ترتبط بفرد محدد, وذلك لتمييز تلك البيانات عن بقية الأفراد الآخرين في 
ا منظمة. وتقوم مرحلة إثراء الهوية بجمع بيانات عن علاقة كل فرد بالمنظمة. وفي مثالنا 
السابق من جامعة ولاية الشمس المشرقةء فإنه في مرحلة اكتشاف الهوية قد تم جمع 
معرفات هنري جونز (Henry Jones)‏ من قاعدة بيانات الطلاب وقاعدة بيانات الموارد 
البشريةء لكن ل يتم جمع أي معلومات عن علاقة هذا الشخص بالجامعة. وف أثناء مرحلة 
إثراء الهوية سنقوم بتسجيل أن هنري جونز (Henry Jones)‏ هو عضو هيئة تدريس في 
قسم علم الآثار كما أنه يدرس مادة في قسم الأحياء. وبعد مرحلة إثراء الهوية فإن سجل 
الشخص الخاص بهنري جونز سيكون كما يلي: 
Identifier First Name LastName Student ID Employee ID Birth Date Roles‏ 


987654 Henry Jones 24680 13579 03/13/20 Faculty: Archaeolot 
Student: Biology 


ويُشار إلى علاقة الفرد با لمنظمة بدور الفرد وانتمائه للمنظمة. ويمكن أن يكون للأفراد 
أدوار متعددة في المنظمة» كما هكن أن يكون لهم عدة أدوار في منظمات متعددة في وقت 
واحد. على سبيل JELI‏ مدير التسويق في شركة ما يحمل دور ا مدير من حيث التسويق 
في المنظمة. كما يحمل دور الموظف من حيث الشركة بأكملها. ولهذا السبب فإن معظم 
ا منظمات ترى من الضروري تحديد الدور الرئيسي لكل فرد. ويتم إنجاز ذلك من خلال 
تطبيق قيمة الأولوية لكل دور كجزء من عملية إثراء الهوية. وبمجرد تجميع قائمة الأدوار 
لكل شخص يكن ترتيب القائمة Lo‏ على قيمة الأولوية والدور الرئيسي المحدد. ففي المثال 
السابق دور المدير سيحصل على قيمة أولوية أعلى من دور الموظف, ولذلك فإنه الدور 
الرئيسي الذي سيتم تسجيله للمستخدم سيكون «مدير». وبا مثل فإن الدور الرئيسي لهنري 
جونز (Henry Jones)‏ سيكون «عضو هيئة تدريس». 

وعند الانتهاء من مرحلة إثراء الهوية فإن عملية إدارة الهوية تكون قد اكتملت. ومن 
ثم يكون نظام إدارة الهوية قد جمع ما يكفي من ال معلومات في سجل الشخص ليكون 


أمن المعلومات وإدارة مخاطر تقنية ا لمعلومات ev‏ 


الفصل الثامن 


متأكداً Le‏ فيه الكفاية من أنه تم تعريف كل فرد في المنظمة بشكل فريد. كما تم استرجاع 
الكثير من المعلومات لاتخاذ قرارات ذكية حول الوصول وحول الامتيازات التي يجب أن 
يحصل عليها هذا الفرد. الآن الهوية جاهزة للاستخدام من قبل نظام إدارة الوصول والذي 
dal‏ مد دا الوصول:والأتشطة deal)‏ عن E‏ 


الشكل (7-8): المخطط الانسيابي لعملية المطابقة والدمج 





البحث في سجل الشخص عن 
هويات بهذا الاسم» وتاريخ 
الميلادء والمعرفات الأخرى 
(كرقم الضمان الاجتماعي 
خا 





اثنتين أو أكثر صفر 





إدارة الوصول: 

تؤسس عملية إدارة الهوية لمعرفة الأفراد في المنظمة. أما الآن فنحن بحاجة لمعرفة ما 
يسمح لكل من هؤلاء الأفراد بالقيام به. ويشمل نظام إدارة الوصول جميع السياسات» 
والإجراءات والتطبيقات التي تأخذ البيانات من سجل الشخص ونظام السجلات بهدف 
اتخاذ قرار بشأن منح صلاحيات الوصول للموارد. 


€ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


إدارة الهوية والوصول 


التحكم في الوصول المعتمد على الدور: 

قبل منح صلاحيات الوصول لأي من موارد المنظمة يتوجب على مسؤول الأمن وعلى 
قيادة المنظمة تطوير سياسات لتنظيم LAS‏ منح الوصول. ds‏ معظم المنظمات الكبيرة تلك 
السياسات تستخدم نهج التحكم في الوصول المعتمد على الدور (role-based access control)‏ 
s‏ نظام التحكم في الوصول المعتمد على الدورء فإن الأذونات اللازمة لتنفيذ مجموعة من 
العمليات المرتبطة ببعضها يتم اعتبارها دورا من أدوار النظام. كما يتم ربط أدوار النظام 
تلك مهام وظيفة أو وظائف محددة في المنظمة. ونظام التحكم في الوصول المعتمد على 
الدور ecce‏ الأفراد ذوي الأدوار ا محددة امتيازات وصول تتناسب مع أدوار النظام المناظرة 
لها. على سبيل JULI‏ قد سمح للشخص الذي يعمل وكيل مشتريات بإدخال أمر شراء 
جديد» لكن لا يُسمح له بالموافقة على الدفع بحيث تمنح القدرة على الموافقة على الدفع 
لدور مرتبط بشخص في وظيفة مختلفة مثل المحاسبة. وتعرف الحالة التي يقوم فيها أكثر 
من شخص بإتمام مهمة كاملة بحالة فصل المهام. وتعد حالة فصل المهام سمة مشتركة في 
أنظمة الأعمال وخاصة عندما يتعلق الأمر بالمعاملات النقدية. 

ويهدف نظام التحكم في الوصول المعتمد على الدور إلى جعل السياسات الأمنية 
تعكس العمليات الفعلية للمنظمة. وكل فرد في المنظمة ينبغي أن تمنح فقط الأدوار 
الضرورية جداً dlas pU‏ بنجاح» وكل دور يجب أن يحتوي فقط على الأذونات اللازمة 
لأداء ا مهام المحددة. وبما أن نموذج نظام التحكم في الوصول المعتمد على الدور يرتبط 
مباشرة بالوظائف الحقيقية للأفراد في المنظمة. يستطيع مسؤولو أمن المعلومات العمل 
مباشرة مع مستخدمي النظام وا مسؤولين عن العمليات. وذلك بهدف تطوير السياسات 
التي سيتم تطبيقها. وهذا الأمر مهم لأن مستخدمي النظام هم الخبراء في هذا ا موضوع, 
فالمستخدمون يعرفون أذونات النظام اللازمة لوظيفة معينةء كما يعرفون المهام الوظيفية 
ا مرتبطة بوظيفة معينة. 


:(Access Registry) سجل الوصول‎ 


تعد قاعدة بيانات سجل الوصول جوهر عملية إدارة الوصول حيث يوفر سجل الوصول 
d$ a‏ الأمن رؤية موحدة لحسابات وأذونات الأفراد عبر المنظمة بأكملها. ويتم تدقيق 
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جميع أنظمة تقنية المعلومات المرتبطة بنظام إدارة الوصول بشكل دوري بهدف معرفة 
تغييرات الحسابات والأذونات وليتم بعد ذلك تحديث البيانات في سجل الوصول. وبالإضافة 
إلى ذلك يحتوي سجل الوصول على تطبيقات تقوم بتدقيق الوصول بشكل دوري. ويعمل 
تدقيق الوصول (Access audits)‏ على تحديد مستوى الوصول الذي يستحقه كل فرد sLo‏ 
على البيانات المقدمة من سجل الشخص (Person Registry)‏ والسياسات الأمنية الحالية. 
ومن خلال مقارنة نتائج تدقيق الوصول (Access audits)‏ مع بيانات الوصول ال محفوظة 
في سجل الوصول» يستطيع مسؤول أمن المعلومات بسهولة تحديد مستوى الوصول الذي 
يجب أن يضاف أو يحذف وذلك لضمان امتثال النظام للسياسات الأمنية. 

الخطوة النهائية في عملية إدارة الوصول هي العمل على تغييرات الوصول ال مطلوبة 
عن طريق أنشطة الإرسال/ الاحتياط لجميع الخدمات والأنظمة المتأثرة. وتشمل أنشطة 
الاحتياط إنشاء حسابات أو إضافة أذونات لا مملكها الفرد أو حذف الحسابات أو الأذونات 
التي مم تعد هناك حاجة POW‏ 


معايير التدابير الاحتياطية 
سابقاً كانت التطبيقات المستخدمة في إرسال أنشطة التدابير الاحتياطية متخصصة للغاية» كما كانت مكتوبة 
بشكل عام لاستهداف تطبيق أو خدمة واحدة فقط. لكن نظراً لأهميتها كان هناك توجه لإنشاء أطر موحدة 
لإرسال البيانات الاحتياطية مثل «لغة ترميز خدمات التدابير الاحتياطية» Service Provisioning Markup)‏ 
(SPML) "(Language‏ و«نظام إدارة الهوية عبر المجال» System for Cross-Domain Identity)‏ 


.(SCIM) "(Management‏ وت ا موافقة على مواصفات نظام (SPML)‏ في ele‏ ۲۰۰۷» لکن استخدامه 
محدودء خاصة في المنظمات الكبيرة جد وذلك نظراً لتعقيدها. من ناحية أخرى يعد نظام freres (SCIM)‏ 
id‏ (تم إطلاق الإصدار الأول منه في شهر ديسمبر من عام (Y* VY‏ وتسعى المنظمة جاهدة لتبسيطه. وما زال 
من السابق لأوانه معرفة ما إذا كان نظام (SCIM)‏ سيصبح المعيار المستخدم على نطاق واسع» لكن يبدو أن هذا 
النظام حصل على دعم كبير من المزودين الرئيسين لخدمات الحوسبة السحابية. 





وبمجرد انتهاء مسؤول النظام من عمليات إدارة الهوية وإدارة الوصول سيكون النظام جاهزاً 
لخدمة المستخدمين. كما يحتاج النظام إلى توفير وسيلة للمستخدمين لإثبات هوياتهم بحيث 
يمكن تقديم الامتيازات المناسبة لهم حيث تمكن آليات المصادقة المستخدمين من إثبات هوياتهم. 


(2) https://www.oasis-open.org/committees/tc home.php?wg abbrev = provision 


(3) http://www.simplecloud.info/ 


6 أمن المعلومات وإدارة مخاطر تقنية المعلومات 





إدارة الهوية والوصول 


:(Authentication) المصادقة‎ 


في شبكات الحاسب الآليء المصادقة هي العملية التي يقوم فيها المستخدم بإثبات أنه 
المالك للهوية التي يتم استخدامها. فعندما يقوم المستخدم بإدخال اسم المستخدم (والذي 
يسمى أيضاً أساس الأمان) فإنه يحاول استخدام هوية للوصول إلى النظام. وللمصادقة 
على مستخدم (أي التحقق أن ال مستخدم هو في الواقع صاحب الهوية) فإن الخطوة التالية 
الأكثر شيوعاً هي أن نسأل عن بيانات الاعتماد. بيانات الاعتماد هي جزء (أو أجزاء) من 
المعلومات ا مستخدمة في التحقق من هوية المستخدم. وتصنف بيانات الاعتماد الأكثر 
فيوعا di‏ فلات كنات az‏ 


o‏ شىء تعرفه. 


. شىء منك. 


شيء تعرفه: كلمات المرور: 

كلمة المرور هي أقدم وأبسط شكل من أشكل بيانات الاعتماد. وكلمة المرور هي 
سلسلة من الرموز السرية التي لا يعرفها سوى صاحب الهوية ويقوم باستخدامها للمصادقة 
على الهوية. فإذا قام الشخص الذي يحاول الوصول إلى الحساب بتوفير كلمة ال مرور 
الصحيحة فإنه يفترض أن هذا الشخص هو صاحب الهوية ويتم منحه الوصول. وبلا شك 
أنك على dol»‏ باستخدام كلمات المرور. وتستخدم كلمات المرور على نطاق واسع لأنها لا 
تحتاج إلى أجهزة ولا تحتاج إلى برمجيات لتطبيقها. وعلى الرغم من أن استخدام كلمات 
السر يعد الأكثر شيوعا من بين بيانات الاعتماد الأخرىء إلا أننا رأينا سابقا أن هناك العديد 
من المسائل المتعلقة بأمن كلمات ال مرور ها في ذلك كلمات المرور الضعيفة. وأيضاً فإن 
المهاجمين يستخدمون طريقتين شائعتين لتخمين كلمات المرور'”: 
)€( وللاطلاع على تقرير سهل القراءة عن حالة السوقء انظر الرابط التالي» 


http://www.dailymail.co.uk/sciencetech/article-2331984/Think-strong-password-Hackers-crack- 
16-character-passwords-hour.html£ixzz2UcKeZwyW (accessed 042013/4/) 
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٠‏ هجمات القاموس :(Dictionary attacks)‏ تجريب الآلاف من كلمات المرور وذلك 
من قواميس ضخمة لكلمات اطرور والكلمات الشائعة من لغات متعددة. 
e‏ هجمات القوة الغاشمة :(Brute-force attacks)‏ مزج الرموز EE‏ وتجريبها 
حتى يتم تخمين كلمة ال مرور حيث يتم تجريب كل مزيج ممكن من الرموز. 
وتستطيع هجمات القاموس تخمين كلمات امرور الشائعة «e euo‏ لكنها ليست فعالة 
ضد كلمات المرور التي 3 تحتوي على أرقام ورموز متعددة ؛ بالإضافة إلى الحروف. لكن 
هجمات القوة cds As]‏ من ناحية أخرى» تستطيع تخمين أي كلمة مرور عندما يكون لديها 
الوقت الكافي لذلك. Us‏ للتغلب على نقطة الخ لضعف هذه. تقوم معظم المنظمات بتشريع 
سياسات تفرض كلمات مرور قوية. وفيما يلي بعض من القواعد النموذجية ا مستخدمة: 
٠‏ يجب أن تتكون كلمة المرور من ثمانية رموز أو أكثر. 
٠‏ يجب أن تحتوي كلمة ال مرور على رقم» وحرف صغيرء وحرف aS‏ ورمز خاص. 


٠‏ يجب ألا تحتوي كلمة المرور على كلمة من القاموس. 


مقياس عشوائية كلمة ال مرور :(Password entropy)‏ 
لسوء الحظ فإن تلك القواعد تولد كلمات مرور يصعب تذكرهاء ولكن لا تؤدي بالضرورة إلى كلمات مرور 
قوية. ففي عام ۲۰۰۱ أصدر امعهد الوطني للمعايير والتكنولوجيا National Institute of Standard and)‏ 
(Technology‏ منشوراً خاصاً C(w-A--)‏ 3 يقدم تعريفاً حسابياً لقوة كلمة المرور اعتماداً على مقياس عشوائية 
C(entropy)‏ كلمة المرور. ويسمح لك قاين العشوائية بمعرفة الوقت المستغرق للمهاجم لتخمين كلمة مرور 
معينة باستخدام هجمات القوة الغاشمة. على سبيل JELI‏ كلمة المرور التالية (dYnTVty!)‏ تعد كلمة مرور قوية 


لأنها تلبي جميع القواعد النموذجية التي تم ذكرها أعلاه. واتضح أن كلمة المرور هذه تحتوي على YO‏ بتا من 
مقياس العشوائية والتي تمثل 770 كلمة مرور محتملة YY)‏ مليون). وفي المتوسط فإن المهاجم يقوم بمحاولة JS]‏ 
من VU‏ مليون) كلمة مرور لتخمين القيمة الصحيحة. وبمعدل ٠٠٠١‏ محاولة في الثانية فإن المهاجم سيستغرق 
فقط € ساعات لتخمين كلمة المرور. لكن عند استخدامك €-Y‏ كلمات شائعة, بدلاً من استخدام كلمة واحدة 
باعتبارها عبارة ال مرور مثل «ورقة مقص حجر» تكون رفعت مقياس العشوائية إلى "6١‏ والذي سيزيد من الوقت 
المطلوب لتخمين كلمة المرور إلى أكثر من ۸ سنوات. 

وكما ترى فإن كلمة مرور ذات المقياس العشوائي العالي ستكون أكثر مقاومة لهجمات القوة الغاشمة”". 





(5) http://csrc.nist.gov/publications/nistpubs/800-63/SP800-63V1 0 2.pdf 
(Houghton Mufflin Harcourt eReference) مقياس للفوضى والعشوائية في النظام امغلق‎ (1) 


Bruce Schneier, «Passwords are not broken, but how we choose them £ ggl انظر مقالاً عن هذا‎ (V) 
(2013/18/sure is,» http://www.schneier.com/essay-246.html(accessed 07 
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ء تملكه: القطع الرمزية: 

بدلاً من إسناد المصادقة إلى سر يعرفه المستخدم وهكن أن يشترك في معرفته (عمداً أو 
غير ذلك) شخص آخر فإن القطع الرمزية عبارة عن المكونات المادية (أو في حالة القطع 
الرمزية البرمجية المخزنة في شيء مادي) التي يجب تقدهها لإثبات هوية اللمستخدم. وفي 
جميع الحالات تقريباً فإن القطع الرمزية ترافق كلمات المرور («شيء تملكه» و «شيء 
43,2«( مما يؤذي إلى إنشناء نظام توثيق ثنائي العوامل. ويعد نظام (التوثيق الثنائي 
العوامل) وسيلة بسيطة نسبيا لإنشاء درجة عالية من الثقة في هوية الفرد الذي يحاول 
الوصول إلى النظام. وقد استخدمت المؤسسات الممالية نظام التوثيق الثنائي العوامل (بطاقة 
الصراف الآلي والرقم السري) لعقود من الزمنء وكذلك الشركات الكبيرة. لكن ومع زيادة 
حالات الانتحال الإلكتروني وغيرها من هجمات كلمات ال مرور في السنوات الأخيرةء توجهت 
العديد من المنظمات لإضافة عامل إضافي لنظام المصادقة الحالي. 

أما البطاقات الذكية فهي عبارة عن قطع رمزية في حجم البطاقة الائتمانية تقوم بحفظ 
رقم الهوية, والذي يحدد البطاقة بشكل 53« أو تحتوي البطاقة الذكية على ذاكرة صغيرة 
Bios‏ 325 را د المستخدم نفسه. ويتم استخدام البطاقات الذكية في مجموعة 
واسعة من التطبيقات», [NY‏ من بطاقات (SIM)‏ الهاتفية داخل كل هاتف محمول S‏ 
ال d dedi aul Jg osi coL Sls:‏ لوصول (eol LI‏ امن فاطق dogs] oL A‏ 
والعسكرية. وبديلاً للمصادقة المستندة إلى التوثيق» يمكن تحميل التوثيق مباشرة في قرص 
يو إس بي (USB thumb drive)‏ (الشكل .(Y-A‏ وتساعد القطع الرمزية المحتمدة على 
التوثيق باستخدام قرص يو إس بي (USB)‏ على الاستغناء عن قارئ البطاقة الذكية كما 
تساعد على تأمين الحفظ الداخلي من خلال استخدام كل من التوثيق وكلمة المرور. 

ومن عيوب القطع الرمزية ال معتمدة على البطاقات ASII‏ وكذلك من عيوب التوثيق 
باستخدام قرص يو إس بي (USB)‏ أن المستخدم يجب أن يكون لديه وصول مادي ممنفذ 
يو إس بي (USB)‏ أو يكون لديه قارئ بطاقة 4,55 موصول بالنظام. وهذا ليس [e‏ 
Ula‏ خاصة عند استخدام الأجهزة المحمولة أو عند تسجيل الدخول من مختبر حالسب 
UI‏ مفتوح الاستخدام أو مقهى للإنترنت. وف هذه البيئات فإن القطع الرمزية التي لا 
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تحتاج إلى اتصال مباشر بجهاز الحاسب الآلي تكون مطلوبة. وبإمكان قطع رمزية بحجم 
سلسلة ال مفاتيح من شركة (RSA)‏ وشركة (Vasco)‏ التعامل مع هذه المشكلة من خلال 
توليد سلسلة من الأرقام التي يتم عرضها على شاشة (LCD)‏ صغيرة في الجزء الأمامي من 
القطعة الرمزية. وبعد ذلك يتم إدخال سلسلة الأرقام من قبل المستخدم ككلمة مرور لمرة 
واحدة (one-time password)‏ وهي عبارة عن كلمة ال مرور ممكن استخدامها طمرة واحدة 
فقط وعادة تكون صالحة لفترة محدودة فقط. وتعد القطع الرمزية التي من هذا القبيل 
(الشكل )٤-۸‏ شائعة الستخدام Aie‏ سنوات عديدة في القطاع الخاص والقطاع الحكومي 
لأنها سهلة التطبيق تسبياء ولا تتطلب قارتا Lole‏ أو غيرها من ا ملحقات لتكون متضلة بكل 
جهاز حاسب آلي في المنظمة, كما يمكن استخدامها بسهولة في أجهزة الحاسب الآلي المكتبية 
أو ا محمولة. 


الشكل (Y-A)‏ بطاقة ذكية في قارئ بطاقة متصل dig‏ يو إس بي (USB)‏ 
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الشكل :)٤-۸(‏ قطعة رمزية (Token)‏ 





Michael Willis/Alamy 


وتقوم هذه الأنواع من القطع الرمزية باستحداث كلمة مرور لمرة واحدة من خلال 
أساليب تعتمد على الوقت أو أساليب تعتمد على التسلسل. 
٠‏ تعمل القطع الرمزية التي تعتمد على الوقت على استحداث كلمة مرور جديدة 
خلال فترة زمنية محددة. عادة تكون ۰ أو ٠‏ ثانية. 
٠‏ أماالقطع الرمزية التي تعتمد على التسلسل فتستخدم خوارزميات معقدة 
لاستحداث سلسلة من كلمات مرور لا OSE‏ تخمينها Flo‏ على كلمات المرور السابقة 
في هذه السلسلة. 


, وبغض النظر عن النوع امستخدم يتم تسجيل القطعة الرمزية في خادم التوثيق قبل أن 
تعطى للمستخدم» مما يؤدي إلى إعطائها قيمة مبدئية لبدء خوارزمية تعتمد على التسلسل 
أو إلى مزامنة الساعة الداخلية لبدء الأسلوب ال معتمد على الوقت. 

وبالإضافة إلى القطع الرمزية OB‏ موردي الأجهزة الأمنية مثل شركة (RSA)‏ تقدم قطع 
رمزية برمجية (software tokens)‏ وهي عبارة عن تطبيقات للهاتف ال محمول تعمل 
بنفس طريقة القطع الرمزية لكن لا تتطلب من المستخدم أن يحمل جهاز منفصل. ولأنها لا 
تنطوي على تقديم جهاز فعلي فإن هذه القطع الرمزية البرمجية لها فائدة إضافية تتمثل في 
الانتشار السريع والبسيط - من خلال تثبيت التطبيق. ومجرد تثبيت التطبيق فإن القطع 
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الرمزية البرمجية تعمل تماما مثل القطع الرمزية المادية المتنوعة - يقوم التطبيق بتوليد 
كلمة مرور تستخدم طرة واحدةء والتي يمكن بعد ذلك دمجها مع كلمة مرور المستخدم 
لتحقيق مصادقة النظام. er‏ أداة مصادقة جوجل (Google Authenticator)‏ قطعة 
رمزية برمجية للمصادقة الثنائية العوامل لحسابات جوجلء وذلك في الهواتف الذكية التي 
تعمل بنظام الآي أو إس GOS)‏ ونظام الآندرويد (Android)‏ 

وبالإضافة إلى تطبيقات القطع الرمزية البرمجية OB‏ القدرات المميزة للأجهزة ا لمحمولة 
الحديثة زادت من عدد الخيارات المتاحة للمصادقة الثنائية العوامل. فالرسائل النصية 
القصيرة (SMS)‏ تعد طريقة مبسطة لتوفير عامل إضافي للمصادقة حيث يقوم المستخدمون 
أثناء إعداد حساباتهم بتسجيل أرقام هواتفهم المحمولة في خدمة المصادقة. وبعد ذلك 
عندما يحاول المستخدم المصادقةء يتم إرسال رمز المرور في رسالة قصيرة إلى هاتفه المحمول. 
ثم يقوم المستخدم بإدخال الرمز لإثبات أن الهاتف المحمول والمسجل مسبقاً لا يزال في 
حوزته. وأحد عيوب استخدام الرسائل القصيرة وسيلة لاعتماد بيانات المصادقة هو أن 
العديد من شركات الهاتف ال محمول تأخذ رسوما على كل رسالة. 

eds‏ شركة (tiQR) (http://tiqr.org)‏ مثالاً عن نهج جديد للمصادقة وذلك بالاستفادة 
من الميزات الموجودة في الهواتف الذكية. فعند تسجيل الدخول إلى موقع محمي من 
شركة (tiQR)‏ يتم عرض عبارة مرور مشفرة للمستخدم على شكل رمز للاستجابة السريعة 
.(Quick Response code)‏ وبعد ذلك يقوم المستخدم بأخذ صورة لرمز الاستجابة 
السريعة باستخدام تطبيق (tiQR)‏ الموجود في الجهاز الذي للمستخدم (وتطبيق (tiQR)‏ 
متوفر على أجهزة أندرويد (Android)‏ وأجهزة آي أو إس (IOS)‏ وقت alas]‏ هذا الكتاب). 
ثم يقوم المستخدم بإدخال كلمة ا مرور à‏ تطبيق (tiQR)‏ ويرسلها إلى خادم المصادقة مع 
عبارة ا مرور التي تم فك شفرتها. ويقوم خادم المصادقة بالتحقق من كلمة مرور ا مستخدم 
ومن عبارة المرور للتأكد من هوية ال مستخدم. 


شىء منك: القياسات الحيوية :(biometrics)‏ 
تعد القطع الرمزية والقطع الرمزية البرمجية وسيلة رائعة لإضافة عامل إضافي لزيادة 
«ol‏ ولكن مثل اي شيء مادي فإن القطع الرمزية يمكن ان تضيع او تسرق ومن ثم 
http://googleonlinesecurity.blogspot.com/2012/03/improved-google-authenticator-app-to.html‏ )8( 
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تستخدم من قبل المهاجمين لانتحال شخصية المستخدمين. كيف هكننا التأكد بأن الشخص 
الذي يحاول الوصول إلى النظام هو بالتأكيد الشخص صاحب الهوية؟ الأجهزة الحيوية 
تحلل الفروق الدقيقة في بعض المواصفات الجسدية أو السلوكيةء مثل بصمات الأصابع أو 
hè‏ الأوعية الدموية في العينء وذلك لتحديد هوية الفرد. وبشكل عام فإن الأجهزة الحيوية 
تعمل من خلال مقارنة بين بيانات القياسات الحيوية التي يتم أخذها من الشخص وبين 
نسحة من بيانات القياسات الحيوية للشخص والتي تم أخذها سابقا أثناء عملية التسجيل. 
وإذا كانت بيانات القياسات الحيوية للشخص الذي يحاول الوصول إلى النظام تطابق 
البيانات المحفوظة في النظام» فإنه يُفترض بأنه نفس الشخص وتكون عملية المصادقة ناجحة. 

ويطلق على الفروق امادية التي يمكن ملاحظتها بين الناس بالعلامات الحيوية. وهناك 
العديد من العلامات التي يمكن استخدامهاء ولكن يتم تحديد مدى ملاءمة العلامات من 
خلال العديد من العواملء ما في OUS‏ 


٠‏ العمومية: يجب أن تكون السمة أو الصفة لدى كل شخص. 
o‏ التفرد: لا يوجد شخصان لهما الصفة نفسها. 


. الدوام: يجب ألا تتغير الصفة مع مرور الوقت. 


٠‏ التحصيل: يجب أن تكون الصفة قابلة للقياس كميا. 
٠‏ الأداء: يجب أن يتم الحصول على قياس دقيق من خلال موارد معقولة. 
ه٠‏ القبول: استعداد ا مستخدمين لقبول قياس الصفة. 


Qu ET صفات شخص‎ X135 التلاعب: صعوبة‎ ٠ 


(9) Jain, A.K., Bolle, R., Pankanti, S., eds. Biometrics: Personal Identification in Networked Society. 
Kluwer Academic Publications, 1999 
كان موضوع القياسات الحيوية في الإعلام عندما حكمت المحكمة العليا في الولايات‎ ۲۰٠۳ ele في شهر يونيو من‎ (V) 
المتحدة بشرعية جمع القياسات الحيوية للتعرف على من يُقبض عليهم» واستخدام تلك القياسات في الكشف عن‎ 
Maryland vs. King, http://www.scotusblog.com/case- جرائم أخرى ليست ذات صلة بالجرهة الأساسية,‎ 
(13/11/files/cases/maryland-v-king/ (Accessed 10 
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بصمات الأصابع: 

تعد بصمات الأصابع أكثر العلامات الحيوية المعروفة والمستخدمة حتى الآن. وتتكون 
بصمات الأصابع من نمط فريد من النتوءات على الأصابع» أو على راحة اليد البشرية والتي 
تعد فريدة من نوعها أيضا - خلال أكثر من ٠٠١‏ عام من التحقيق في مسرح الجرهةء وفي 
أكثر من ملايين من بصمات الأصابع» لم يتم العثور على الإطلاق على اثنين لديهم بصمات 
أصابع متطابقة. 

às‏ السابق كانت تكنولوجيا مسح بصمات الأصابع شائعة الاستخدام فقط à‏ التطبيقات 
التي Weti cus‏ لكن ومع انخفاض أسعار تكنولوجيا المسح وانخفاض تعقيدها 
أصبحت ماسحات بصمات الأصابع nens‏ من الأجهزة الموحدة في أجهزة الحاسب JI‏ 
ا مكتبية اا ملصممة لاستخدام قطاع الأعمال. وتعتمد (ماسحات بصمات الأصابع) إما على 
مجسات ضوئية في شكل كاميرا صغيرة تأخذ bus‏ رقمية للإصبع» أو على ماسحات ضوثية 
بالسعة (capactive scanners)‏ والتي تولد صورة من إصبع ال مستخدم باستخدام التيار 
الكهربائي. وبدلاً من مقارنة كامل بصمة الإصبع» يقوم برنامج المسح الضوئ بمقارنة شكل 
ومكان العديد من ميزات البصمة الفريدة (التفصيلات) ) (الشكل 0-8). وعن طريق مطابقة 
التفصيلات بين بصمتي الأصابع» يستطيع البرنامج حساب احتمال تطابق البصمتين. وهذا 
النوع من المطابقة الاحتمالية هنع العوامل البيئية $e LT)‏ البقع ا لموجودة على الكاميراء 
وغيرها) من التأثير على نتيجة تطابق بصمات الأصابع. ومع ذلك فإنها تعد نقطة ضعف في 
مصادقة القياسات الحيوية. ولا يحتاج المهاجم للحصول على تطابق تام للبصمة من أجل 
انتحال الشخص المستهدف بل يكفي أن يقوم المهاجم بنسخ ما يكفي من «التفصيلات» من 
أجل إقناع الماسح الضون b‏ الشخص الصحيح «المحتمل». وعلى الرغم من أنه تم نشر 
الهجمات الناجحة ضد ماسحات بصمات الأصابع”" إلا أنها ستظل التقنية الآمنة عموما 
والتقنية الأكثر استخداما في تحديد هوية القياسات الحيوية لسنوات قادمة. 


مسح قزحية وشبكية العين: 
تسجل الماسحات الضوئية لشبكية العين النمط الفريد من الأوعية الدموية ال موجودة في 


(11) Matsumoto, T. etal. Impact of Artificial «Gummy» Fingers on Fingerprint Systems. International 


Society of Optics, 2002 
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الجزء الخلفي من العين. وبالإضافة إلى شبكية العينء تحتوي العين على سمة تحديد فريدة 
أخرى هي القزحية. والقزحية هي الهيكل الدائري الذي يحيط بؤبؤ العين ويعطي العين 
لونها. وبشكل مشابه لبصمات الأصابع فإن هذه الهياكل فريدة من نوعها لكل شخص 
ويمكن استخدامها للمصادقة. ولفترة طويلة كان مسح القزحية والشبكية جزءاً من أفلام 
التجسس - الدخول إلى قاعدة سرية أو مسح العين للتحقق من الهوية من خلال نظام 
أمني. أما في الحياة العملية فإن هذه الأنظمة تستخدم لحماية المناطق التي تتطلب أمناً 
Lile‏ مثل وزارة الدفاع أو مناطق عادية مثل الصالة الرياضية المحلية. 

وقد استخدمت ال ماسحات الضوئية لشبكية العين في أعلى ال مناطق الأمنية لسنوات 
عديدة. وبالنسبة للمستخدم فإن مسح شبكية العين مشابه إلى حد كبير إلى الاختبار 
الذي يُجرى في مكتب طبيب العيون حيث يتم النظر إلى عدسة» ويتم التركيز على نقطة 
من الضوء لعدة cols‏ في حين يلتقط ا ماسح الضوني صورة لشبيكة العينء ثم يقوم الماسح 
بمعالجة البيانات. ويعد مسح شبكة العين دقيقا للغاية لكنه لا يعد مقبولا للاستخدام العام 
لأنه توسعي أكثر من التقنيات الأخرىء كما أنه أبطأ من البدائل الأخرى. 


الشكل :(0-N)‏ بصمة الإصبع مع تحديد (تفصيلات) البصمة 


Images 


Brandon LaufenbergAGetty 





أمن المعلومات وإدارة مخاطر تقنية ا معلومات 0 


الفصل الثامن 


وعلى عكس المسح الضوني لشبيكة العين فإن مسح قزحية العين سريع وغير مؤم. 
وماسح قزحية العين هو عبارة عن كاميرا رقمية عادية (صور ثابتة أو فيديو) مزودة بفلتر 
às 3‏ تحت الحمراء (infrared)‏ والذي يسمح بالتقاط صورة محسنة للقزحية. وإن كان 
مسح قزحية العين ليس دقيقاً كمسح شبكية العين إلا أنه يُستخدم في العديد التطبيقات 
بسبب سهولة الاستخدام. ويُعد مسح قزحية العين مشابها جدا لأخذ الصور بالكاميرا حيث 
لا يتطلب مسح القزحية أن يكون المستخدم على مقربة من الماسح الضوئي (بحدود أمتار 
قليلة) أو يبقى ثابتاً لفترة طويلة من الزمنء وذلك OS‏ الصور يتم التقاطها بشكل فوري. 

d‏ عام 7٠١١‏ بدأت وزارة الداخلية في دولة الإمارات العربية Basal‏ برثامجا المح 
الضوني لجميع الرعايا الأجانب الذين يدخلون البلادء وذلك بحثاً عن الأفخاص الذين تم 
طردهم سابقا من البلاد بسبب انتهاكات تصاريح العمل (الشكل ۸ -1). ويحتوي النظام 
على ملايين من الهويات كما يقوم بمليارات من عمليات البحث يومياً. وحتى الآن تمكن 
النظام من القبض على أكثر من ٠١‏ آلاف شخص كانوا يحاولون معاودة الدخول إلى البلاد 
بوثائق سفر .85952 


شكل (5-8): مسح قزحية العين à‏ مطار دبي 





(12)Daugman, J. Encyclopedia of Biometrics. Springer, 2010 


£M‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 





إدارة الهوية والوصول 


وقد بدأ مسح قزحية العين بالانتقال من ال منظمات الحكومية الكبيرة إلى تطبيقات 
منظمات القطاع الخاص. على سبيل «JULI‏ فقد زودت شركة نوادي اللياقة Equinox)‏ 
(Fitness Clubs‏ مواقهها d anas‏ عش ماسهات dg‏ القوعية cel‏ يدلا من ماسخات 
البطاقة التقليدية االمستخدمة في نوادي اللياقة البدنية الأخرى. وقد سمحت ماسحات 
قزحية العين لأعضاء JUS»‏ الشخصيات» (VIP)‏ بالوصول إلى الخدمات الحصرية دون 
الحاجة إلى حمل بطاقة أو الحاجة إلى تذكر الرقم السري”". 


مشكلات نظام القياسات الحيوية: 

تعد أنظمة CoL LJ]‏ الحو نة كلا UT‏ لاغانة لتحقيق d Boll‏ القنائية Jelai‏ 
كما هكن أن توفر هذه الأنظمة درجة عالية من الثقة في هوية المستخدم. لكن ell‏ هذه 
الأنظمة يعد أحد العقبات. فإذا el‏ ا مهاجم بسرقة كلمة مرور المستخدم أو القطع الرمزية 
الأمنية الخاصة به فإنه يتم إزالة التهديد بمجرد إصدار كلمة مرور جديدة أو إصدار قطعة 
رمزية جديدة. وهذا ليس ممكنا عند التعامل مع بيانات القياسات الحيوية. وبحكم 
طبيعتها فإن العلامات الحيوية دائمة - لا oS‏ إصدار بصمات أصابع جديدة في حال تم 
اختراق بيانات بصمات الأصابع. ومن ثم فإن هذه العلامة الحيوية لا Sce‏ استخدامها 
كعامل مصادقة موثوق به. وهنا يجب إما ترقية نظام بصمات الأصابع لإزالة الخلل الذي 
يسمح للمهاجمين بتقليد المستخدم الحقيقيء أو استبدال النظام بأكمله من خلال استخدام 
علامة حيوية مختلفة9". 


تبدو القياسات الحيوية حديثة لكنها من أقدم أشكال تحديد الهوية. فالنمور تتعرف على بعضها من خلال 
رائحتها. وطيور البطريق تتعرف على بعضها من خلال النداءات. والبشر يتعرفون على بعضهم من خلال النظرات 


امباشرة, والأصوات على الهاتف. والتوقيعات على العقود. والصور على رخص القيادة. وقد استخدمت بصمات 
الأصابع للتعرف على الأشخاص في مسرح الجرهة لأكثر من ٠٠١‏ عام. والجديد الآن في القياسات الحيوية هو قيام 
أجهزة الحاسب الآلي بعملية التعرف: بصمات الإبهام» ومسح شبكية العين» وتخطيط الصوت» وأنماط الكتابة9". 





(13) «Equinox Fitness Clubs Case Study.» IRIS In Action. IRISID. Web. 15 May 2013 


(14) Bruce Schneier, Crypto-gram, January 15, 2009 
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تسجيل الدخول الأحادي :(Single sign-on)‏ 


عند التحقق من هوية المستخدم فإنه ينح حق الوصول إلى النظام أو إلى التطبيق. 
وإذا كانت هذه المصادقة على الحساب ال محليء مثل تسجيل الدخول إلى نظام ويندوز 
عند تشغيل جهاز الحاسب الآلي الخاص «eb‏ فإن عملية المصادقة تكون مكتملة. ويقوم 
نظام التشغيل بإعلام جميع البرامج في جهاز الحاسب الآلي بهويتك ومن ثم لا حاجة 
للقيام بالمصادقة مرة أخرى. لكن ما الذي يحدث إذا كان التطبيق الذي تريد الوصول 
إليه موجوداً على نظام آخر؟ كيف LSe‏ أن تُعرف نفسك إلى التطبيق البعيد؟ ومثال 
على ذلكء الوصول إلى معلومات مادة دراسية موجودة على (نظام إدارة التعلم) 
(learning management system)‏ مثل نظام بلاكبورد (Blackboard)‏ 

بإمكانك تكرار عملية المصادقة وتزويد النظام باسم المستخدم وكلمة ال مرور وأي عامل 
آخر (مثل القطع à» ya JI‏ والقياسات الحيوية» وغيرها) المطلوبة في البيئة الخاصة بك. 
وهذا سيؤدي الغرض لكن سرعان ما يُصبح ذلك مملاً خصوصاً إذا كنت ترغب في الوصول 
إلى العديد من الأنظمة. وما نحتاج إليه هو وسيلة تساعد على تسجيل الدخول مرة 
واحدة ومن ثم الوصول إلى جميع التطبيقات المتصلة دون dL‏ ببيانات الاعتماد مرة 
أخرى. ويشار إلى هذا النظام ب «تسجيل الدخول الأحادي» (single sign-on) (SSO)‏ 
ويمكن تحقيقه بعدد من الطرق. ويقصد ب «تسجيل الدخول الأحادي» هو التقنية التي 
تسمح للمستخدم بتسجيل الدخول By‏ واحدة ومن ثم الوصول إلى جميع الموارد المصرح 
للمستخدم الوصول إليها. 

وعموماً فإن مسؤول النظام في بيئة «تسجيل الدخول الأحادي» يقوم بإنشاء كلمة 
مرور للمستخدم لكل مورد سمح للمستخدم بالوصول إليه بحيث تكون كلمة ]3951 
قوية وفريدةء كما يقوم مسؤول النظام بتغيير كلمات المرور التابعة للموارد الفردية بشكل 
منتظم كما هو محدد من قبل سياسة كلمات المرور التابعة للمنظمة. والممستخدم النهائي 
ليس على ele‏ بأي من كلمات اللمرور التابعة للموارد الفردية. وبدلاً من ذلك يتم منح 
ا مستخدم كلمة مرور واحدة يقوم بإدخالها للوصول إلى الموارد التي يتم التحكم بها من 
خلال تقنية «تسجيل الدخول الأحادي». 
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ويتم تنفيذ تقنية «تسجيل الدخول الأحادي» عادة من خلال استخدام مستودع مركزي 
واحد للمصادقة المعتمدة على كلمات المرور. وبمجرد el‏ المستخدم بالمصادقة في هذا 
المستودع المركزي يقوم النظام بالبحث عن الموارد ال مصرح للمستخدم الوصول إليها. وعند 
محاول ال مستخدم الوصول لأي من هذه الموارد فإن نظام «تسجيل الدخول الأحادي» يعمل 
على توفير كلمة ال مرور الخاصة با مورد نيابة عن المستخدم. وأصبح استخدام «تسجيل 
الدخول الأحادي» شائعا بازدياد في المنظمات الكبيرة مثل الجامعات والمصارف. 
مزايا وعيوب نظام تسجيل الدخول الأحادي: 

قبل الحديث عن التقنيات المختلفة ل «تسجيل الدخول الأحادي» دعنا نلقي نظرة 
على مزايا وعيوب نشر «تسجيل الدخول الأحادي» في النظام. هناك العديد من الفوائد 
الرئيسية التي يقوم «تسجيل الدخول الأحادي» بتوفيرها مباشرة لكل من المستخدمين 
ومسؤولي النظام: 


تجربة أفضل للمستخدم: فلا أحد يحب إدخال بيانات الاعتماد عدة مرات. 
تحفظ بيانات الاعتماد بشكل سري: بحيث يكون المستخدم وخادم «تسجيل 
الدخول الأحادي» فقط لديهم إمكانية الوصول إلى بيانات اعتماد ا لمستخدم. وهذا 
يلغي إمكانية وصول المهاجم لكلمة المرور من خلال خدمة مخترقة. 

تنفيذ سهل للمصادقة الثنائية العوامل بدلاً من تحديث جميع الخدمات التي تدعم 
المصادقة من خلال القطع الرمزية وبيانات القياسات الحيويةء فإن نظام «تسجيل 
الدخول الأحادي» فقط يحتاج إلى التحديث. 

قل حيرة: لا يحتاج االمستخدمون إلى تذكر حسابات متعددة بأسماء مستخدمين 
وكلمات مرور مختلفة. 

مكالمات أقل لمكتب المساعدة الفنية: على الأغلب فإن المستخدمين سيتذكرون 
كلمات المرور التابعة لهم. 

كلمات مرور قوية: بما أن المستخدم يحتاج لتذكر كلمة مرور واحدة فقط فإنه من 
الممكن أن تكون كلمة المرور أكثر تعقيدا. 

تدقيق مركزي: يتم تأمين جميع المصادقات ويمكن رصدها في مكان واحد. 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات ۹ 
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وبشكل عام فإن تطبيق تقنية «تسجيل الدخول الأحادي» تطور من مستوى الأمن 
ومن خبرة ا مستخدم, لكن هذه التقنية لا تخلو من العيوب: 


اختراق بيانات الاعتماد هثل خطرا كبيراً - فاختراق حساب واحد يؤدي إلى الوصول 
إلى العديد من الأنظمة أو التطبيقات. 

ات dot eges coles‏ مهيل واهذة مكل هة هذا اة 
HyperText Markup Language» (HTML)‏ الخاصة بصفحة تسجيل الدخول 
التابعة لك مما يسهل سقوط المستخدمين في هذه الخدعة. 

هثل نظام «تسجيل الدخول الأحادي» نقطة عطل مفردة single point of)‏ 
(failure‏ فإذا لم يكن هذا النظام متوفرا لا هكن لأحد المصادقة على أي نظام. 
وتعطل هذا اللمستودع سيؤدي للإضرار ليس فقط بخصوصية وتكامل جميع كلمات 
المرور في اطمستودع» بل سيضر أيضا بجاهزية جميع الأنظمة التي يتحكم فيها هذا 
امستودع. 

إضافة أي نوع من «تسجيل الدخول الأحادي» سيزيد من تعقيد النظام بأكمله. 
وكلما كان الحل أكثر تعقيداء زادت احتمالية حدوث الأخطاء. 


وبالإضافة إلى «تسجيل الدخول الأحادي»» تقوم بعض المنظمات بتوظيف نظام مصادقة 
طزامنة كلمات ال مرور (password synchronization)‏ وتهدف خدمة مزامنة كلمات 
المرور لضمان أن المستخدم لديه نفس اسم المستخدم وكلمة المرور في جميع الأنظمة. 
وبعكس «تسجيل الدخول الأحادي» فإن اللمستخدم لمزامنة كلمات المرور يقوم بإدخال 
بيانات الاعتماد عند الدخول لكل نظام. ويؤدي تغيير كلمة ا مرور في نظام واحد إلى نشر 
هذا التغيير إلى الموارد الأخرى. وهذا يقلل من حيرة المستخدم كما قد يقلل من المكالمات 
الهاتفية لمكتب الدعم الفني والتي تهدف لإعادة تعيين كلمات ال مرور. 


ey- 


أمن المعلومات وإدارة مخاطر تقنية المعلومات 


إدارة الهوية والوصول 


ies‏ عكس «تسجيل الدخول الأحادي» OLS‏ مزامنة كلمات اللمرور لا تحتوي على 
مستودع مركزي لكلمات المرور. وبدلاً من EUS‏ يقوم كل نظام مزامنة بحفظ نسخة من 
كلمة مرور المستخدم ويقوم المستخدم مباشرة با مصادقة على كل نظام. والفائدة التي 
تعود على المستخدم هي أن هناك كلمة واحدة فقط ليتذكرها. وتستخدم مزامنة كلمات 
المرور عادة عند دمج عدة أنواع مختلفة من الأنظمة معا. على سبيل «JULI‏ يجب أن 
يكون ا مستخدم قادرا على الوصول إلى تطبيق على شبكة الإنترنت» والوصول إلى تطبيق 
يعمل على الحاسوب الرئيسي» والوصول أيضا إلى قاعدة بيانات الحسابات وذلك باستخدام 
بيانات الاعتماد نفسها. 

وها أن مزامنة كلمات المرور تحتاج إلى متطلبات قليلة للتنفيذ, فإنها عموماً أقل تكلفة 
من «تسجيل الدخول الأحادي». ومع ذلك فإن مزامنة كلمات ال مرور لها مشكلاتها الخاصة. 
ولأن كلمة المرور نفسها تستخدم في العديد من الموارد فإن اختراق أي من هذه امموارد 
سيؤدي d]‏ اختراق جميع ال موارد المتزامنة مع المورد المخترّق. وإذا تم استخدام مزامنة 
كلمات المرور مع موارد ذات متطلبات أمنية مختلفة» فإن المهاجم يستطيع حينها من 
اختراق الموارد الأقل أمناً للوصول إلى الموارد الأكثر al‏ والتي من المتوقع أن تكون ذات 
قيمة عالية. 


:(Active directory and Kerberos) النشط وبروتوكول كير بيروس‎ JJI 


à‏ شبكات مايكروس وفت ويندوزء تمثل الدليل النشط (Active directory)‏ هيكل 
«تسجيل الدخول الأحادي». ويقوم الدليل النشط (Active directory)‏ بدمج خدمات 
الشبكات Le‏ في ذلك «نظام اسم المجال» (DNS)‏ و«البروتوكول الخفيف للوصول إلى الدليل» 
(LDAP)‏ مع بروتوكول كيربيروس (Kerberos)‏ وبروتوكول كيربيروس (Kerberos)‏ هو 
بروتوكول مصادقة يسمح للأجهزة الطرفية الموجودة في شبكة غير آمنة للتعريف بأنفسهم 
ولتعرف بعضهم على بعض وذلك بشكل آمن باستخدام القطع الرمزية. كما أن بروتوكول 
كيربيروس (Kerberos)‏ بروتوكول مصادقة شائع الاستخدام» ويعد أساسا لتقنيات المصادقة 
الأخرى. وتم تطوير مشروع بروتوكول كيربيروس (Kerberos)‏ في الثمانينيات من قبل 


أمن المعلومات وإدارة مخاطر تقنية ا لمعلومات £YA‏ 


الفصل الثامن 


باحثين في معهد ماساتشوستس للتكنولوجيا (MIT)‏ وتم إتاحته للجمهور في عام 1997 19 . 
ويعمل بروتوكول كيربيروس (Kerberos)‏ على توفير درجة عالية جداً من الثقة في الهوية 
المقدمة للتطبيق المحمي من خلال بناء علاقة موثوقة استناداً إلى مفاتيح التشفير المشتركة 
بين خادم امصادقة. والتطبيق المحميء والعميل. 

وفي عمل روتيني لبروتوكول كيربيروس (Kerberos)‏ قد يرغب ا مستخدم في استخدام 
خدمة عن بعد كالطابعة أو pe‏ ا ملفات. وتتطلب ال مصادقة من خلال بروتوكول كيربيروس 
(Kerberos)‏ مشاركاً إضافيا ألا وهو مركز التوزيع الرئيسي» كما تتطلب أن يكون جميع 


العناصر الثلاثة التالية أعضاء لنفس بروتوكول كيربيروس (Kerberos)‏ «الحيز» أو (مجال 
في الدليل النشط): 


e‏ العميل الذي يبدأ المصادقة. 

٠‏ مركز التوزيع الرئيسي (Key Distribution Center)‏ والذي يتكون من عنصرين: 
- خدمة المصادقة. 
- خدمة منح التذاكر. 

٠‏ الخدمة التي يرغب العميل في الوصول إليها. 


وبهذه الإعدادات فإن عملية بروتوكول كيربيروس (Kerberos)‏ موضحة في الشكل (V-A)‏ 
وقبل تمكن العميل من الوصل لبروتوكول كيربيروس (Kerberos)‏ لابد من المصادقة في مركز 
التوزيع الرئيسي. 


(15) http://www.kerberos.org/about/FAQ.html 
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الشكل :(V-A)‏ تبادل تذاكر بروتوكول كيربيروس (Kerberos)‏ 


البروتوكول الشبكي أو بروتوكول نقل الملفات مركز التوزيع الرئيسي لبروتوكول 
التابع لبروتوكول كيربيروس (Kerberos)‏ كيربيروس (Kerberos)‏ 


Í 
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أولاً ess‏ كل من العميل والخدمات بإغلان وجو د هما عاق dS, I‏ من خلال تقديم :بياناتك 
اعتمادهما ومن خلال طلب «تذكرة - منح - تذكرة» .(V) (Ticket-Granting-Ticket) (TGT)‏ 
وبعد ذلك يقوم مركز التوزيع الرئيسي (KDC)‏ بإصدار تذكرة - منح - تذكرة (TGT)‏ 
مشفرة مفتاح سري لا يعرفه سوى مركز التوزيع الرئيسيء كما يقوم بإصدار مفتاح جلسة 
(session key)‏ پستخدم لتشفير الاستجابات ال مستقبلية من مركز التوزيع الرئيسي (Y)‏ 
والعمر الافتراضي لكل من «تذكرة - منح - تذكرة» (TGT)‏ ومفتاح الجلسة هو ٠١‏ ساعات 
يمكن تجديدها من قبل العميل في أي وقت. 


وعندما يحتاج العميل إلى خدمة ما فإنه يقوم بطلب «تذكرة خدمة» (Service Ticket)‏ 
وذلك لخدمة معينة عن طريق تقديم «تذكرة - منح - تذكرة» (TGT)‏ إلى مركز التوزيع 
الرئيسي .(Y) (KDO)‏ وإذا تمكن مركز التوزيع الرئيسي (KDC)‏ من فك شفرة «تذكرة - 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات eyy‏ 











الفصل الثامن 


منح - تذكرة» (TGT)‏ فإنه يقوم بإصدار تذكرة خدمة جديدة لكل من العميل والخدمة 
ال مطلوبة )€( ويقوم العميل بفك شفرة الجزء الخاص به باستخدام مفتاح الجلسة الذي 
أرسل في وقت سابق من قبل مركز التوزيع الرئيسي (KDO)‏ ومن ثم يقوم العميل بإرسال 
الكت التغر إل à ssa‏ المطلوبة (0). وبعد ذلك تقوم الخدمة بالتحقق من التذكرة 
باستخدام مفتاح الجلسة الخاص بهاء وهو مفتاح طويل الأجل وصادر من مركز التوزيع 
الرئيسي (KDC)‏ وبعد ذلك gag‏ الوصول إلى المستخدم (I)‏ 


ويعد بروتوكول كيربيروس jS] (Kerberos)‏ تقنيات «تسجيل الدخول الأحادي» 
(SSO)‏ شيوعاً في أجهزة الحاسب الآلي المكتبية. ومعظم المنظمات الكبيرة تستخدم أجهزة 
حاسب Jl‏ مكتبية بنظام ویندوزء كما تستخدم الدليل النشط (Active Directory)‏ لإدارة 
حسابات اللمستخدمين. وتسمح المصادقة باستخدام بروتوكول كيربيروس (Kerberos)‏ 
والمتضمن للدليل النشط (Active Directory)‏ للمستخدمين بتسجيل الدخول منذ 
المرة الأولى لأجهزة الحاسب الآلي oS‏ ويسمح ذلك بالوصول إلى محركات الأقراص 
والطابعات البعيدة أو الوصول للتطبيقات البعيدة دون الحاجة لإدخال اسم المستخدم أو 
كلمة المرور. ومع ذلك فإن بروتوكول كيربيروس (Kerberos)‏ والدليل النشط Active)‏ 
(Directory‏ مجهزان لاستخدام الشركات» فهما يعملان عندما يصل جميع المستخدمين إلى 
النظام» وذلك على أجهزة حاسب آلي موثوقة (تعود ملكيتها وصيانتها عادة للشركة). لكن 
بروتوكول كيربيروس (Kerberos)‏ ليس Ea‏ للتطبيقات المستهدفة من قبل مستخدمي 
الشبكة الذين يصلون إلى النظام من خلال أجهزة الحاسب الآلي الشخصية. وفي هذه 
الحالات فإنه من غير الممكن أن نفترض أن تجار التجزئة وا مستهلكين لديهم الاستعداد 
للدخول في علاقة ثقة معا لتبادل تذاكر الخدمة. والتقنيات الموضحة obol‏ مصممة للعمل 
في هذه البيئات الواسعة. 


eye‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


إدارة الهوية والوصول 


تسجيل الدخول الأحادي على الشبكة 
OAuth OpenID Token Kerberos‏ 


الإصدار الأول 1987 1995 2005 2006 


متعدد. رابطة 
اتحادية - éb‏ 


متعدد» مدخلات 
محددة ا 
توثيق 
طبقة ال منفذ 
الآمن SSL)‏ 


(certificate 


مفتاح 


خادم المصادقة, 


تطبيقات 
(Shibboleth)‏ 
(Microsoft) 9‏ 

(ADFS)s 


متعدد العملاء متعدد العملاء 
ذوي المصدر ذوي امصدر 
ال مفتوح esL‏ 


تطبيقات الشبكة 

" الخارجية مثل 
الشبكة الداخلية| (Google Apps)‏ 
(Office 365)5‏ 


العامة مثل 
(Facebook)‏ 
(Twitter) 9‏ 
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تسجيل الدخول الأحادي على الشبكة :(Web single sign-on)‏ 


تم تصميم بروتوكول كيربيروس (Kerberos)‏ في الثمانينيات وقبل وقت طويل من 
إنشاء شبكة الإنترنت العالمية (World Wide Web)‏ وعلى الرغم من أن البروتوكول قد 
تم تحديثه في السنوات التي تلت EUS‏ إلا أنه مم يتم دمجه بسهولة مع تطبيقات شبكة 
الإنترنت. وهناك سببان لذلك: السبب الأول هو شرط كون جميع العملاء والخوادم أعضاء 
في نطاق بروتوكول كيربيروس (Kerberos)‏ وهذا ليس ممكناً مع تطبيقات الشبكة العامة. 
أما السبب الآخر فهو دعم المتصفح - فمتصفحات الشبكة الرئيسية لا تدعم مصادقة 
بروتوكول كيربيروس (Kerberos)‏ وذلك حتى وقت قريب يمينا حيث لا يزال بعضها 
يتطلب تهيئة واسعة لتمكين الدعم. وتسمح أنظمة تسجيل الدخول الأحادي على الشبكة 
(Web single sign-on) (WebSSO)‏ للمستخدمين بالمصادقة على تطبيق ويب واحد 
ومن ثم الوصول إلى تطبيقات الشبكة الأخرى دون الحاجة إلى إدخال اسم ال مستخدم وكلمة 
ا مرور مرة أخرى. وهناك العديد من أنظمة تسجيل الدخول الأحادي على الشبكة حيث 
نناقش بشكل عام تقنيات المصادقة المستخدمة لتسجيل الدخول الأحادي على الشبكة ومن 
ثم سنركز على بروتوكول (تسجيل الدخول الأحادي على الشبكة) ا مستخدم على نطاق واسع 
في التعليم والشبكات التجارية. 


المصادقة المعتمدة على الرموز: 

أبسط شكل من أشكال (تسجيل الدخول الأحادي على الشبكة) هو استخدام رمز 
مصادقة مشترك. والمصادقة المعتمدة على الرمز المشترك هي استخدام معرف فريد أو دالة 
تجزئة مشفرة تثبت هوية المستخدم بملكيته للرمز. فعندما doleo‏ المستخدم للمرة الأولى 
الوصول إلى أحد تطبيقات الشبكة ال محميةء تتم إعادة توجيه المستخدم إلى خدمة مزود 
الرموز للتحقق من اسم المستخدم وكلمة ال مرور (وأي عوامل مصادقة أخرى مطلوبة)ء وبعد 
ذلك يتم توليد رمز المصادقة (الشكل (A-A‏ 
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الشكل :(A-A)‏ المصادقة المعتمدة على الرموز 





5 ارسال الرمز 3 s‏ 





واعتماداً على التنفيذ المحده لتزويد الرمز فإن رمز المصادقة قد يُستحدث بعدد من 
الطرق المختلفة. والأكثر شيوعاً أن الرمز ينتج من عملية تشفير مثل تمرير اسم المستخدم 
خلال خوارزمية دالة التجزئة الآمنة (HMAC-MDS)‏ أو خوارزمية تشفير المفتاح السري 
.(AES)‏ وجرد أن يتم توليد الرمز فإنه يتم إعادة توجيه المستخدم إلى الخدمة المطلوبةء 
كما يتم إضافة الرمز إلى معايير طلب بروتوكول انتقال النص التشعبي (HTTP)‏ وبديلاً 
لهذه العملية يتم حفظ الرمز على شكل ملف تعريف الارتباط (cookie)‏ في متصفح 
المستخدم قبل إعادة توجيه المستخدم إلى الخدمة ال مطلوبة. ويتم حفظ ملفات تعريف 
الارتباط التابعة للجلسة في الذاكرة المؤقتة فقط ويتم حذفها عندما يقوم المستخدم بإغلاق 
المتصفح. وبالإضافة إلى بيانات ا مصادقة GLE‏ للتطبيقات أن تحفظ بيانات أخرى في ملفات 
تعريف الارتباط التابعة للجلسة مثل العناصر المحفوظة في عربة التسوق الإلكترونية أو 
تفضيلات الموقع للمستخدم. 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات eyy‏ 


الفصل الثامن 


تعد مشاركة رموز المصادقة في ملفات تعريف الارتباط التابعة للجلسة طريقة سهلة لتفعيل «تسجيل الدخول 
«sole VI‏ بين تطبيقات الشبكة المتعددة. لكن القيد الرئيسي لهذه الطريقة هو أن متصفحات الشبكة لا تسمح 
مشاركة ملفات تعريف الارتباط بين مجالات متعددة. Ael Más‏ ملفات تعريف الارتباط التابعة للجلسة 


المحفوظ في (sunshine.edu)‏ هكن استخدامه فقط من قبل التطبيقات الموجودة في المجالات الفرعية من 
(sunshine.edu)‏ مثل مجال (www.sunshine.edu)‏ ومجال «mail.sunshine.edu)‏ لکن لا همکن استخدامه 
في مجال .(www.example.com)‏ وإذا كان هناك حاجة ل «تسجيل الدخول الأحادي» بين تطبيقات في مجالات 
مختلفة فإنه لا مكن استخدام ملفات تعريف الارتباط التابعة للجلسة. 





وفي تطبيقات الشبكة فإن عملية التحقق من رمز المصادقة تعتمد على الطريقة المتبعة في 
توليد ذلك الرمز. وف أبسط الحالاتء إذا تم استخدام خوارزمية المفتاح المتماثل فإن تطبيق 
الشبكة ا مطلوب سيقوم بإدخال الرمز وإدخال نسخة من امفتاح ا مشفر إلى خوارزمية فك 
التشفير. وتتضمن البيانات الناتجة في الحد الأدنى على اسم المستخدم للشخص المصادق» 
لكنها قد تتضمن بيانات أخرى عن الشخص مثل الاسم» أو بيانات المصادقة الأخرى كالختم 
الزمني وعنوان بروتوكل الإنترنت (P)‏ 

ويعد «تسجيل الدخول الأحادي» باستخدام المصادقة المعتمدة على الرموز سهل التطبيق 
نسبياء كما يعد آمنا عندما يتم تنفيذه بالشكل الصحيح باستخدام مفتاح تشفير قوي. 
لكن هناك بعض المشكلات. المشكلة الأولى هي أنه لا يوجد بروتوكول أو نموذج موحد 
للمصادقة بالرموزء لذلك تقوم كل منظمة بتطبيق نظام المصادقة بشكل مختلف. وهذه 
لا تمثل مشكلة إذا كانت جميع التطبيقات التي ستستخدم «تسجيل الدخول الأحادي» تم 
تصميمها داخل المنظمة. لكن هذه النقطة تمثل مشكلة كبيرة عند محاول دمج تطبيقات 
خارجية. والمشكلة الأخرى تتمثل في صعوبة التعامل مع إدارة تشفير المفاتيح. فإذا قمت 
بتوليد مفتاح فريد لكل تطبيق يستخدم «تسجيل الدخول الأحادي» فهناك احتمال أنك 
تحتاج إلى الإدارة مئات من المفاتيح. ومن جهة أخرى إذا استخدمت مفتاحا واحدا لجميع 
الخدمات» وتم اختراق هذا اممفتاح» فإن جميع الخدمات ستكون معرضة للخطر. 
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الشكل (9-8): خدمة المصادقة المركزية 
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دروتوكول خدمة المصادقة المركزية :(Central Authentication Service)‏ 


يعد بروتوكول خدمة المصادقة المركزية (Central Authentication Service)‏ واا 
من التقنيات الرائدة في «تسجيل الدخول الأحادي» المفتوحة ا مصدرء وخصوصاً في مجال 
التعليم العالي. وقد تم تطوير هذا البروتوكول في جامعة ييل (Yale University)‏ في عام 
.١‏ ويجمع بروتوكول خدمة المصادقة المركزية بين جوانب المصادقة المعتمدة على 
الرموز وبين المفاهيم ا مستقاة من بروتوكول كيربيروس (Kerberos)‏ وذلك لجعل «تسجيل 
الدخول الأحادي» آمناً وسهل التكامل مع معظم تطبيقات الشبكة (الشكل ds (I-A‏ 
عام ٠٠١‏ تم نقل ملكية المشروع إلى منظمة Java Architectures Special Interest)‏ 
(Group‏ وهي منظمة تضم مجموعة من المؤسسات التعليمية ال مخصصة لتطوير 
برمجيات التعليم العالي. 

وبشكل مشابه للمصادقة المعتمدة على الرموز فإن االمستخدم عندما يحاول الوصول 
إل تطبيى همی — (برؤتوكؤل d Sala] dad‏ المركزية) فان Soie] ex‏ وج إلى 
خدمة المصادقة الموجودة على خادم (بروتوكول خدمة المصادقة المركزية). وبشكل مشابه 
px‏ لبروتوكول كيربيروس (Kerberos)‏ فإن هذه الخدمة تقبل بيانات اعتماد المستخدم 
وتتحقق منها ومن ثم تقوم بإصدار «تذكرة - منح - تذكرة» (Ticket-Granting-Ticket)‏ 
وإن أهم ما هيز (بروتوكول خدمة المصادقة المركزية) هو أن التذكرة تحفظ على متصفح 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات £Y4‏ 

















الفصل الثامن 


المستخدم في ملف تعريف الارتباط (cookie)‏ الخاص بالجلسة» وأن خادم (بروتوكول 
خدمة المصادقة المركزية) فقط يستطيع الوصول إلى تلك التذكرة. وفي الزيارات اللاحقة 
لخدمة المصادقة à‏ أثناء جلسة تسجيل ا ل (بروتوكول خدمة المصادقة امركزية) 
(ساعتان افتراضياً) يعرض المتصفح »8,523 - - 8,$35« للمصادقة jas‏ من مطالبة 
ا لمستخدم بإدخال بيانات الاعتماد الخاصة به. 


واستمراراً لأوجه التشابه ببروتوكول كيربيروس (Kerberos)‏ فإن المتصفح يطلب من 
خادم (بروتوكول خدمة المصادقة المركزية) أن jua»‏ تذكرة خدمة (Service Ticket)‏ 
لتطبيق ويب المحمي. وتذكرة خدمة (بروتوكول خدمة المصادقة المركزية) عبارة عن قيمة 
عشوائية يتم استخدامها فقط بصفة معرف فريد. ولا يتم حفظ أي بيانات للمستخدم 
في تذكرة الخدمة. وتستخدم تذاكر الخدمة ممرة واحدة فقط حيث يتم التحقق منها مرة 
واحدة» وبعد ذلك يتم حذفها من خادم (بروتوكول خدمة المصادقة المركزية). كما أن 
تذكرة الخدمة صالحة فقط للموقع الإلكتروني الذي طلبّت له التذكرة: كما أنها صالحة 
لفترة زمنية قصيرة جداً (الفترة الزمنية الافتراضية هي ٠١‏ ثوان). وعند توليد تذكرة الخدمة, 
يتم إعادة توجيه المستخدم إلى التطبيق الذي طلبه ف الأصل بحيث تضاف تذكرة الخدمة 
إلى معايير بروتوكول نقل النص التشعبي (HTTP)‏ وذلك بشكل مماثل لعملية المصادقة 
المعتمدة على الرموز. 

وبدلاً من أن يتم التحقق من خلال تطبيق الشبكة كما يتم في المصادقة بالرموزء فإن 
تذكرة الخدمة ترسل مرة أخرى إلى خادم (بروتوكول خدمة المصادقة المركزية) للتحقق. وإذا 
كان عنوان الموقع الإلكتروني للخدمة يطابق عنوان الموقع الإلكتروني الذي تم طلب التذكرة 
له وم تنته صلاحية التذكرة. فإن خادم (بروتوكول خدمة المصادقة المركزية) يستجيب 
بوثيقة مكتوبة ب «لغة الترميز الممتدة» (XML)‏ تحتوي على اسم المستخدم المصادق عليه. 
وقد أضافت الإصدارات الأحدث من خادم (بروتوكول خدمة المصادقة المركزية) القدرة على 
استرجاع ال مواصفات الأخرى كالاسم وعنوان البريد الإلكتروني بالإضافة إلى اسم المستخدم. 

وأبرز العوامل الرئيسية وراء نجاح خادم (بروتوكول خدمة المصادقة المركزية) هي 
البساطة واطرونة. وعملياً هكن أن يضاف دعم (بروتوكول خدمة المصادقة n‏ 
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بسهولة إلى أي تطبيق ويب إما عن طريق استخدام أحد العملاء المتاحين"" وإما بتطوير 
العميل الخاص بك. وخلافا للمصادقة ال معتمدة على الرموز والتي تتطلب خوارزمية تشفير 
يصعب التعامل معها أحيانا فإن المتطلب الوحيد للتفاعل مع خادم (بروتوكول خدمة 
المصادقة ا مركزية) هو القدرة على إجراء اتصال ببروتوكول نقل النصوص التشعبية ال محمي 
(HTTPS)‏ وتحليل استجابة خادم (بروتوكول خدمة المصادقة المركزية) والتي تكون ب 
«لغة الترميز ا ممتدة» (XML)‏ ويمكن لجميع لغات البرمجة الرئيسية المستخدمة اليوم 
أن تلبي هذين المعيارين» لذا فإن تطوير عميل مخصص ل (بروتوكول خدمة المصادقة 
المركزية) ليس صعباً. ومن السهل توسيع استخدام خادم (بروتوكول خدمة المصادقة 
ا مركزية) لأنه مصمم للمرونة. ويدعم خادم (بروتوكول خدمة المصادقة المركزية) العديد 
من الأنواع المختلفة لبيانات الاعتماد مثل اسم المستخدم وكلمة المرور في بروتوكول الوصول 
للدليل Lightweight Directory Access Protocol (LDAP)‏ وتوثيقات .(x.509)‏ 
كما أنه يمكن ضبط خادم (بروتوكول خدمة المصادقة 55,4 43( لقبول تذاكر ببروتوكول 
كيربيروس (Kerberos)‏ مما يؤدي إلى تأسيس حل متكامل لتسجيل الدخول الأحادي - يقوم 
المستخدم بتسجيل الدخول عند بدء تشغيل جهاز الحاسب الآلي في الصباح دون الحاجة إلى 
إعادة إدخال كلمة ال مرور وذلك حتى عند الرغبة في الوصول إلى تطبيقات الشبكة. 


الرابطة الاتحادية :(Federation)‏ 


إن بروتوكول كيربيروس (Kerberos)‏ وبعض من أشكال «تسجيل الدخول الأحادي» توفر 
جميع الضوابط اللازمة لتأمين التطبيقات داخل المنظمة» لكن ما العمل إذا احتاج المستخدم 
الوصول إلى تطبيقات خارج المنظمة Jis‏ تطبيقات (Google Apps)‏ و(365 3(Office‏ وما 
الحل في حال احتاج مستخدمون من خارج ال منظمة الوصول إلى تطبيقات في منظمتك؟ 
الإجابة التقليدية لهذا السؤال هي إنشاء حسابات للمستخدمين التابعين لمنظمتك في 
الأنظمة الخارجية» وإنشاء حسابات «ضيف» في النظام التابع للمنظمة: وذلك لجميع 
ال مستخدمين من خارج المنظمة. تخيل أن مجموعة من أعضاء هيئة التدريس في جامعة 
ولاية الشمس المشرقة يتعاونون مع باحثين من إحدى شركات التكنولوجيا الحيوية المحلية. 


(16) https://wiki.jasig.org/display/CASC/Client + Feature Matrix 
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والطريقة الوحيدة ممنح حق الوصول إلى البيانات البحثية لكلا الفريقين تتم بحيث أن 
جميع موظفي شركة التكنولوجيا الحيوية يحتاجون إلى بيانات اعتماد من الجامعةء وأعضاء 
هيئة التدريس يحتاجون إلى بيانات اعتماد من شركة التكنولوجيا الحيوية. 

وفي d ol‏ المطاف فإن هذه العملية غير مدعومة لعدد من الأسباب. السبب الأول 
هو أن هذه العملية تقدم مجموعة ثانية من بيانات الاعتماد مما يقضي على جميع مزايا 
«تسجيل الدخول الأحادي». والنقطة الأهم من وجهة نظر أمنية هي أنه لا توجد وسيلة 
لعرفة متى يجب سحب امتيازات المستخدم الخارجي. فوصول الأفراد داخل المنظمة 
يمكن أن يُلغى بمجرد أن يتم اكتشاف أي تغيير في الارتباط الوظيفي للفرد (فصلء تغيير 
في المنصب الوظيفيء وغيرها) من قبل نظام إدارة الهوية. لكن هذا النوع من المعلومات 
loque‏ لق کون bis‏ للأفراد من خارج اة مها uer‏ مق مراك الوضول أمرا ما 
وبالإضافة إلى الآثار الأمنية فإن إنشاء حسابات في ال منظمات الخارجية يتطلب عادة الكشف 
عن بيانات اللمستخدمين الشخصية (مثل الاسم وعنوان البريد الإلكتروني)» مما قد يؤدي إلى 
مخاوف فادحة تتعلق بالخصوصية. 

الرابطة الاتحادية (federation)‏ تسد الفجوة بين أنظمة المصادقة في ا منظمات المختلفة. 
ويتم تطبيق (الرابطة الاتحادية) من خلال توفير وسيلة للتطبيق الداخلي «مزود الخدمة» 
(service provider)‏ أو (SP)‏ ليثق في معلومات الفرد (أو «للتأكيد») don: Ls‏ من مصدر 
خارجي «مزود الهوية» (identity provider)‏ أو .(IdP)‏ في مثال جامعة ولاية الشمس 
المشرقة علا وبدلاً من إنشاء حسابات لجميع الباحثين في شركة التكنولوجيا الحيويةء فإن 
النظام الذي يحتوي على البيانات البحثية في الحرم الجامعي لجامعة ولاية الشمس المشرقة 
سيقوم بالتحقق من هوية ا مستخدم عن طريق «مزود الهوية» لشركة التكنولوجيا الحيوية, 
كما سيقوم النظام بطلب معلومات كافية عن المستخدم لاتخاذ قرار بشأن منح حق الوصول. 
وإذا نجحت عملية المصادقة وكانت المعلومات الموفرة من قبل «مزود الهوية» (14۴) تلبي 
متطلبات التطبيق» عند ذلك سيتم منح الوصول. كما أن طلب المعلومات واتخاذ قرار 
بالوصول يتم في كل مرة يقوم فيها المستخدم بالمصادقة. مما يسمح لجامعة ولاية الشمس 
المشرقة برفض وصول المستخدم الذي مم يعد يلبي المعاييرء وذلك في أقرب وقت يحصل فيه 
«مزود الهوية» (IAP)‏ التابع لشركة التكنولوجيا الحيوية على ال معلومات. 
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لكن السماح للمستخدمين التابعين لأكثر من مزود للهوية بالوصول إلى الخدمة يؤدي إلى 
ظهور تحد مثير للاهتمام. كيف يمكن للخدمة معرفة أي من مزودي الهوية (IdP)‏ الذي 
يستطيع مصادقة المستخدمين؟ والإجابة تتم من خلال سؤال ا مستخدمين عن المنظمات 
التي قاوموا بالاشتراك فيها. وتقدم خدمة الاكتشاف للمستخدم قائمة با منظمات اموثوق 
بها والتي يمكن الاختيار من بينها للمصادقة. ويوضح الشكل ys )٠١-8(‏ على خدمة 
الاكتشاف في أحد أنظمة الارتباط الاتحادي الشائعة هو (InCommon)‏ 


بروتوكول لغة تمييز التأكيدات الأمنية «(Security Assertion Markup Language)‏ 


يعد بروتوكول لغة تمييز التأكيدات الأمنية Security Assertion Markup)‏ 
(Language) (SAML‏ أحد بروتوكولات الارتباط الاتحادي الأكثر شيوعاً وامتكخداما à‏ 
برمجيات المنظمات. وهو بروتوكول يعتمد على «لغة الترميز الممتدة» (XML)‏ تم 
تطويره في عام 7٠١١‏ من قبل لجنة تقنية للخدمات الأمنية تدعى OASIS Security)‏ 
"(Services Technical Committee‏ وقد مر هذا البروتوكول بعدد من التنقيحات 
والإصدارات كان آخرها إصدار )2.0 (SAML‏ والذي أصدر في .Y**0 ele‏ ويتضمن هذا 
البروتوكول معايير أخرىء بالإضافة إلى معايير «لغة الترميز الممتدة», وذلك من أجل أمن 
الرسائل متضمناً ذلك معايير التشفير والتوقيع. ads‏ أمن الرسائل مهما في البروتوكول» 
a$‏ بدلا من إرسال البيانات مباشرة من «مزود الهوية» (IAP)‏ إلى «مزود الخدمة» 
(SP)‏ يقوم طرفا التواصل المعتمدان على بروتوكول «لغة تميبز التأكيدات الأمنية» 
بالتواصل من خلال ترحيل الرسائل عبر متصفح المستخدم بلغة ترميز النصوص التشعبية 
Ja auo liag .HyperText Markup Language (HTML)‏ من تهيئة الارتباطات 
الاتحادية المعتمدة على بروتوكول «لغة تمييز التأكيدات الأمنية» (SAML)‏ لأن ضوابط 
الشبكة لا تحتاج إلى تحديث للسماح ل «مزود هوية» جديد أو «مزود خدمة» جديد 
بالاتصال بالأعضاء الآخرين في الرابطة الاتحادية. 

لكن ولأن الرسالة تمر من خلال طرف ثالث غير موثوق به (وهو متصفح المستخدم) فإن 
رسائل «لغة الترميز الممتدة» (XML)‏ يجب أن تكون موقعة ومشفرة لضمان أمن الرسالة 
وتكاملها: 


(17) https://www.oasis-open.org/committees/security/ 
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الشكل :)٠١-8(‏ خدمة الاكتشاف في أحد أنظمة الارتباط الاتحادي الشائعة وهو (InCommon)‏ 
| 








وف الارتباطات الاتحادية الذي تضم عدداً ليس قليلاً من المنظمات ومزودي الخدمات 
تصبح ال محافظة على تلك الارتباطات معقدة بحيث يمكن فصلها لتمثل منظمة منفصلة. 
ويكون مزود الارتباط الاتحادي abs‏ عن جميع امهام الإدارية المتعلقة بإدارة شؤون 
الاتحاد. مثل إدارة العضوية, وصياغة سياسات الارتباط وإنفاذهاء وإدارة البنية التحتية 
للمفتاح العام (Public Key Infrastructure)‏ اللازمة لعمليات التشفير. كما يقوم 
الارتباط الاتحادي بنشر البيانات الخاصة بالارتباط الاتحادي» وهي عبارة عن مستندات 
ب «لغة الترميز ال ممتدة» (XML)‏ تحتوي على äg‏ شاملة لأعضاء الارتباط الاتحاديء كما 
تحتوي على بيانات هامة مثل معلومات المنظمة ومعلومات التواصلء وذلك لكل مزود 
خدمة ولكل مزود هوية. diga‏ مزود الارتباط الاتحادي النقطة المركزية في شبكة الثقة 
التي تشكل الارتباط الاتحادي. والمشاركون في الارتباط الاتحادي يثقون في أن المزود سيقوم 
بفحص الأعضاء الجدد» وذلك للمحافظة على مستوى معين من الجودة في عمليات إدارة 
الهوية. às‏ المقابل يقوم المشاركون بتمويل مزود الارتباط الاتحادي من خلال رسوم 
العضوية. 

ويوضح الشكل )١١-1(‏ عملية مصادقة مستخدم في بيئة الارتباط الاتحادي ب «لغة 
تمييز التأكيدات الأمنية». فعندما يحاول المستخدم المصادقة من خلال مزود خدمة محمي 
ببروتوكول «لغة تمييز التأكيدات الأمنية» (Y)‏ يقوم مزود الخدمة بالتحقق من أن الموارد 
المطلوبة تتطلب المصادقة (اختبار الوصول). 
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الشكل :)١١-8(‏ تسجيل الدخول الأحادي في بيئة الارتباط الاتحادي ب «لغة تمييز التأكيدات الأمنية» 


1 ------4 مزود الارتباط الاتحادي » p------‏ 





















































وإ do LL] cial‏ طاو (HTML) a dal ns aoa O5‏ 
(Y)‏ بحيث يحتوي النموذج على مستند طلب المصادقة ب «لغة الترميز ا ممتدة» (XML)‏ 
والذي سيتم عرضه على خدمة «تسجيل الدخول الأحادي» لدى مزود الهوية (۳). بعد 
ذلك يقوم مزود الهوية بطلب بيانات اعتماد المستخدم )€( والتحقق منها .(O)‏ وإذا 
كانت المصادقة ناجحة فإن مزود الهوية يجمع كافة البيانات عن المستخدم والتي يجب 
إرسالها إلى مزود الخدمة» كما يقوم مزود الهوية بإصدار رد باستخدام بروتوكول «لغة 
تمييز التأكيدات الأمنية». ولحماية البيانات الموجودة في هذا الرد OB‏ مزود الهوية يقوم 
بتشفير ملف ال (XML)‏ بالمفتاح العام التابع لمزود الخدمة (والمسترد من مزود الارتباط 
الاتحادي)» كما يقوم مزود الهوية بتوقيع المستند باممفتاح الخاص التابع له. وبعد ذلك 
يقوم مزود الهوية بإرسال نموذج ال (HTML)‏ والذي يحتوي على بيانات الرد إلى ا مستخدم 
)1( ويتم تقديم هذا النموذج UT‏ إلى مزود الخدمة (V)‏ الذي يقوم بفك شفرة ملف ال 
(XML)‏ كما يقوم بالتأكد من توقيع الرسالة. الآن وبعد أن تمت مصادقة المستخدم, يقوم 
مزود الخدمة بتوفير الموارد المطلوبة إلى المستخدم (N)‏ 
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الفصل الثامن 


وخلافاً لبعض بروتوكولات «تسجيل الدخول الأحادي» الأخرى والتي تمت مناقشتها في 
هذا الفصلء فإن بروتوكول «لغة تمييز التأكيدات الأمنية» لم تتم كتابته بصفته جزءا من 
تطبيق الخادم. ويحدد معيار بروتوكول «لغة تمييز التأكيدات الأمنية» تفاصيل كيفية 
عمل البروتوكول لكن التطبيق الفعلي لهذه التفاصيل ترجع لمطوري التطبيقات. وبسبب 
ذلك أصبح هناك العديد من أنظمة المصادقة المختلفة التي تدعم بروتوكول «لغة تمييز 
التأكيدات الأمنية» وذلك من أكبر منتجي البرمجيات التجارية مثل أوراكل ومايكروسوفت» 
كلك من التطبيقات القفوحة drills Jul‏ مجنا 

ويُعد تطبيق بروتوكول «لغة تمييز التأكيدات الأمنية» التابع لشركة مايكروسوفت lee‏ 
من منتج «خدمات الارتباط الاتحادي LJU‏ النشط» Active Directory Federation)‏ 
(Services‏ ويقدم هذا المنتج خدمة توسيع نظام الدليل النشط (Active Directory)‏ 
لدعم وصول الارتباط الاتحادي إلى الموارد المحلية والخارجية باستخدام بروتوكول «لغة 
تمييز التأكيدات الأمنية» والبروتوكولات الأخرى. ويعد هذا المنتج بمثابة القلب للعديد من 
منتجات مايكروس وفت الحديثةء وذلك مع البدء في إصدار المزيد من البرمجيات التي تتبع 
نموذج الخدمة في استلام البرامج. على سبيل JEL‏ إن استخدام هذا المنتج لدعم وصول 
الارتباط الاتحادي في برامج أوفيس 750 )365 (Office‏ يسمح للمنظمة باستخدام بيانات 
الاعتماد ا محلية (بتسجيل دخول واحد إلى أجهزة الحاسب SI‏ المكتبية) للوصول إلى البريد 
الإلكتروني والتقويم ا معتمدين على الحوسبة السحابية. ويسمح توافق هذا المنتج مع 
معيار بروتوكول «لغة تمييز التأكيدات الأمنية» للمنظمة بالارتباط الاتحادي مع المنتجات 
غير التابعة لميكروسوفت مثل (Google Apps)s (Salesforce.com)‏ لقطاع الأعمال. 

وتعد تطبيقات بروتوكول (Shibboleth)‏ وهي تطبيقات مفتوحة المصدر ومعتمدة 
على بروتوكول «لغة تمييز التأكيدات الأمنية»» أكثر التطبيقات شيوعاً في مصادقة الخادم. 
وتطبيقات بروتوكول (Shibboleth)‏ هي تطبيقات لإدارة الهوية مفتوحة المصدر وذات 
بنية تحتية للتحكم بوصول الارتباط الاتحادي ومعتمدة على برتوكول «لغة تمييز التأكيدات 
الأمنية» .(Security Assertion Markup Language)‏ وتم تطوير هذه التطبيقات 
لتسجيل الدخول الأحادي على الشبكة من قبل (مجموعة إنترنت (group InternetY) (Y‏ 
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إدارة الهوية والوصول 


والتي تتكون من مطورين من بعض الجامعات والمنظمات البحثية. ويحتاج أعضاء 
هيئة التدريس والباحثون من مختلف ال منظمات إلى طريقة للوصول إلى ال موارد ا مشتركة 
وا موجودة في الجامعات ال مختلفة والتي تستخدم نظام مصادقة فريد يختلف عن الأنظمة 
الأخرى. وتم إصدار النسخة الأولية من هذه التطبيقات (V,*)‏ في عام YY‏ وتم إحداث 
تغييرات كبيرة في الإصدار الذي يليه في عام ٠٠٠0‏ (إصدار (VY‏ وعام ۲٠٠۸‏ (إصدار „(Yst‏ 
ومنذ ذلك الحين تم إصدار بعض النسخ التي تحتوي على بعض التعديلات البسيطة. ويعد 
برتوكول (Shibboleth)‏ الأكثر شيوعا في الم ساك o otis date‏ العا eol‏ الف 
الكبيرة» كما أن هذا النظام هو الأساس في العديد من الاتحادات الوطنية والدولية. 


تطبيقات برتوكول (Shibboleth)‏ 
يُعرف قاموس ميريام وبستر (Merriam-Webster)‏ مصطلح (Shibboleth)‏ بأنه «العادة أو الاستخدام الذي يعد 
بأنه مُميزاً ås garh‏ ما عن المجموعات الأخرى»”". ls‏ هذا المصطلح من الكتاب اليهودي امقدس Hebrew)‏ 


(6-Judges 12:5) (Bible‏ والذي كان يستخدم النطق الصحيح لهذه الكلمة للتمييز بين قبيلة الجلعاديين 
(Gileadites)‏ (الذين كانوا ينطقون هذه الكلمة بالشكل الصحيح) وقبيلة الإفرايم (Ephraimites)‏ (الذين كانوا 
ينطقون هذه الكلمة ك ((Sibboleth)‏ 





وفي الوقت نفسه الذي كان يتم فيه تطوير الإصدارات الأولى من بروتوكول (Shibboleth)‏ 
كانت القاعدة التي تدير البنية التحتية للشبكات في جميع الجامعات السويسريةء والتي تدعى 
(SWITCH)‏ تتعامل مع القضايا نفسها التي تتعامل معها (Internet2) ås garo‏ والتي تعمل 
على بروتوكول .(Shibboleth)‏ وفي ٠٠١٠ ele‏ أعلنت (SWITCH)‏ عن رابط اتحادي جديد 
يُدعى "(SWITCHaai)‏ والذي يربط جميع الجامعات بجميع الشركاء في مجال البحوث 
والمجال التجاري في سويسرا مما يسمح للطلاب وأعضاء هيئة التدريس بالوصول إلى جميع 
ا موارد التعليمية في البلاد عن طريق استخدام مجموعة واحدة من بيانات الاعتماد. وبحلول 
شهر نوفمبر من عام Y * W‏ تضمنت (SWITCHaai)‏ أكثر من 0٠‏ مؤسسة تعليمية بوصفها 
مزودي هوية وما يقارب من ٠٠١‏ منظمة من القطاع العام والشركات بوصفها مزودي خدمة. 


(18) w.merriam-webster.com/dictionary/shibboleth 


(19) http://www.switch.ch/aai/about/federation 
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الفصل الثامن 


وبعد النجاح الذي حققته (SWITCH)‏ بتشغيلها رابط اتحادي على نطاق واسع» بدأت 
الشبكات التعليمية في جميع أنحاء blo‏ بتطوير خططها للارتباط الاتحادي. ففي عام 
٤‏ أعلنت مجموعة (Internet2)‏ عن ارتباط اتحادي وطني» يدعى (InCommon)‏ 
يربط الجامعات الأمريكية بالشركاء من المؤسسات البحثية الحكومية والشركات. clus‏ 
(IACommon)‏ بعدد قليل من الأعضاء ونمت في البداية ببطء» لكن مع انضمام شركاء من 
الشركات الكبرى مثل مايكروسوفت ومع إطلاق بروتوكول (Shibboleth)‏ في عام Y+ +A‏ 
تزايد عدد الأعضاء بشكل كبير. وبحلول Y «Y ele lg‏ تضمنت (InCommon)‏ أكثر 
من ٠١‏ مؤسسة تعليمية» وهو ما هثل ما يقارب من T‏ ملايين مستخدم وأكثر من ١6١‏ 
من الشركاء من ال مؤسسات البحثية الحكومية والشركات”". وكنظير ل (SWITCH)‏ 
(Internet2)5‏ في ال مملكة المتحدة, أعلنت (JISC)‏ في عام ۲٠٠٠"‏ عن الارتباط الاتحادي 
في المملكة المتحدة والتي أصبحت واحدة من أكبر الروابط الاتحادية في العام متضمنة ما 
يقارب من ٠٠٠١‏ مشارك ومئات من مقدمي الخدمات. 


بروتوكول (OpenID)‏ 
يُعد الارتباط الاتحادي المعتمد على بروتوكول «لغة تمييز التأكيدات الأمنية» حلاً ممتازاً 
للحن Bob‏ ماك لكون a airs El dista‏ شركاء سملن لكنه EEN‏ 
وتأملاً قبل إضافة أي موارد للارتباط الاتحادي حيث يجب أن يكون كل مزود هوية 
وكل مزود خدمة مسجلا في الارتباط الاتحادي قبل استخدامها للمصادقة. ويجب إجراء 
التسجيل من قبل مسؤولي نظام مزود الهوية» واعتماداً على متطلبات مزود الخدمة, قد 
يتطلب التسجيل تغييرات في تهيئة النظام التابع لمزود الهوية» وهذا لا يمثل مشكلة في حال 
الشركات. فعندما يتم تحديد خدمة ارتباط اتحادي جديدة من قبل الموظفين أو غيرهم 
من أعضاء ا منظمة: فإنه يتم مراجعة المتطلبات وال موافقة عليها قبل إجراء أي تغييرات في 
تهيئة النظام. وهذا هثل lus‏ واضحاً في بروتوكول «لغة تمييز التأكيدات الأمنية» عندما 
تكون التطبيقات المعتمدة على المستخدم تشمل dale‏ الناس. تخيل مقدار العمل المطلوب 


(20) http://www.incommonfederation.org/participants 


(21) http;//www.ukfederation.org.uk 
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للمحافظة على الارتباط الاتحادي الذي يحتوي على MUI‏ من الخدمات ومقدمي الهوية 
الموجودة على شبكة الإنترنت مع مئات أو آلاف من مقدمي الخدمات الجديدة التي يتم 
إنشاؤها يومياً. وللتعامل مع المواقع ذات الكثافة الكبيرة من المستخدمين من جميع أنحاء 
hbll‏ مثل تويتر وفيسبوك» يجب استخدام ارتباط اتحادي جديد. 

وفي الأصل تم تطوير بروتوكول (OpenID)‏ في عام iad ٠٠١0‏ المدونات LiveJournal.)‏ 
(com‏ وبدلاً من مطالبة مزود الهوية (والذي يُشار إليه باسم مزود ((OpenID)‏ للتسجيل 
مع مزود ارتباط اتحادي مركزيء فإن (OpenID)‏ تستخدم (النموذج الموزع) للمصادقة. 
والمتطلب الوحيد لتصبح مزود (OpenID)‏ هو وجود اتصال إنترنت يسمح لأجهزة 
الحاسب الآلي الأخرى الوصول «SUI‏ ووجود خادم ويب يعمل على تطبيق خادم متوافق 
مع (OpenID)‏ وهذه القيود المنخفضة للتعامل مع هذا البروتوكول تعني أن المستخدمين 
الواعين بشكل كبير للأمن والخصوصية يمكنهم تشغيل مزود (OpenID)‏ التابع لهم مما 
يسمح لهم بتعيين متطلبات القوة وبيانات الاعتماد التي يتم استخدامها لعمليات المصادقة 
التي يُجريها المستخدمون بأنفسهم. وسبب نجاح هذا البروتوكول هو المنفعة التي يقدمها 
إلى مزود الخدمة (وهي جهة الاعتماد في بروتوكول OpenID) (Relying Party in the)‏ 
clus .((OpenID protocol‏ بشائر النجاح ل «تطبيقات الشبكة» في الظهور مع ظهور 
بعض المواقع الإلكترونية مثل (Facebook) s (Flickr)s (Gmail)‏ والتي تم إطلاقها جميعاً 
في عام .7٠٠‏ ومع ظهور مواقع جديدة تطلق تطبيقات جديدة في كل «28s‏ أدى ذلك إلى 
إحباط ا مستخدمين بسبب الحاجة إلى التعامل مع حسابات وكلمات مرور متعددة. وأصبح 
فق الول locas‏ إضافة دعم بروتوكول (OpenID)‏ وذلك لمطوري التطبيقات ومزودي 
خدمات البريد الإلكتروني مثل (Yahoo) s (Google) s (AOL)‏ والذين أصبحوا من مزودي 
(OpenID)‏ في وقت قصير. وبفضل هؤلاء المزودين eol‏ بروتوكول (OpenID)‏ يستخدم 
في الآلاف من المواقع, كما أصبح هناك أكثر من مليار عنوان موقع إلكتروني (URL)‏ تعتمد 
على بروتوكول (OpenID)‏ قيد الاستخدام على شبكة الإنترنت. 

وللمصادقة باستخدام بروتوكول (OpenID)‏ يقوم المستخدم بإرسال عنوان الموقع 
الإلكتروني (URL)‏ معتمد على بروتوكول (OpenID)‏ إلى جهة الاعتماد Relying)‏ 
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Ja (Party‏ من اسم .)١( exea‏ ويكون عنوان الموقع الإلكتروني (URL)‏ ا معتمد على 
بروتوكول (OpenID)‏ فريدا لكل مستخدم» ويكون عادة سالا فرعياً للمنظمة ]$5951 
ل (OpenID)‏ على سبيل المثال .(http:// jsmith.sunshine.edu)‏ ثم تطلب جهة 
الاعتماد عنوان الموقع الإلكتروني (URL)‏ ويتم إعادة توجيهها إلى مزود (Y) (OpenID)‏ 
ويستجيب مزود (OpenID)‏ بسر مشترك بحيث يستخدم هذا السر في مصادقة الاستجابة 
.(Y)‏ وبعد ذلك تقوم جهة الاعتماد بإعادة توجيه متصفح المستخدم إلى مزود (OpenID)‏ 
وذلك للمصادقة. وبمجرد أن يقوم المستخدم بتزويد بيانات اعتماده )€( ويقوم بروتوكول 
(OpenID)‏ بالتحقق من صلاحية بيانات الاعتماد تلك )0( يقوم البروتوكول بإنشاء 
استجابة للمصادقة ويقوم بإرجاعها مع السر المشترك إلى جهة الاعتماد (I)‏ وبمجرد مصادقة 
المستخدم يتم ربط عنوان ا موقع الإلكتروني (URL)‏ المعتمد على بروتوكول (OpenID)‏ 
بحساب محلي في تطبيق جهة الاعتماد. كما يتم طلب بيانات المستخدم اللازمة للخدمة 
(الاسم» وعنوان البريد الإلكتروني» وغيرها). وهذه العملية موضحة في الشكل (Y-A)‏ 


(OpenID) و‎ (Y-A) الشكل‎ 


Meh N 
A / 





















تسجيل دخول المستخدم 
بعنوان الموقع الالكتروني 
(URL)‏ المعتمد على 
بروتكول (OpenID)‏ 
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وتم إطلاق المواصفات النهائية لبروتوكول )2.0 "(OpenID‏ في أواخر عام Y V‏ 
متضمنة القدرة على إطلاق سمات المستخدم بالإضافة إلى استجابة المصادقة أو ما يدعى ب 
Jal»‏ السمات à‏ بروتوكول (OpenID) «(OpenID Attribute Exchange)‏ كما 
يضيف بروتوكول )2.0 (OpenID‏ دعما للهويات الموجهة التي تسمح للمستخدم بإدخال 
اسم المجال لمزود (OpenID)‏ (على سبيل المثال « («yahoo.com‏ أو اختيار المزود من 
Ld‏ وستقوم قائمة اكتشاف مركزية لدى المزود بإرجاع عنوان الموقع الإلكتروني (URL)‏ 
الصحيح وا معتمد على بروتوكول (OpenID)‏ إلى المستخدم. 

ويوضح الشكل (1-1) شاشة اختيار ممزود تقليدي باستخدام جهة اعتماد بروتوكول 
.(OpenID 2.0)‏ ويعد إطلاق المواصفات ميزة هامة لأنه يسمح للمستخدمين بتجاوز نماذج 
طلب (معلومات المستخدم الأساسية) مثل الاسم وعنوان البريد الإلكتروني من خلال تأكيد 
مزود (OpenID)‏ التابع لهم لتلك المعلومات. ولأن عملية التسجيل وعملية تسجيل الدخول 
أصبحت أسهل للمستخدم» لاحظت جهات الاعتماد زيادة ملحوظة في التسجيل واستخدام 
الخدمة عند استخدام مصادقة بروتوكول (OpenID)‏ ويمكن النظر أيضا إلى نظام إطلاق 
المواصفات في بروتوكول )2.0 (OpenID‏ باعتباره مكسبا لخصوصية المستخدم. فقبل إطلاق 
أي بيانات إلى جهة الاعتماد. يسعى مزود (OpenID)‏ للحصول على إذن المستخدم: ويسمح 
للمستخدم بإنهاء المعاملة إذا كان لا يرغب في الإفصاح عن البيانات المطلوبة. 


(OpenID 2.0) شاشة اختيار لممزود بروتوكول‎ (P-A) الشكل‎ 
Sign in using your account with 


3 " 
E E Facobook 
ká Foursquare Yahoo! 


Janrain المصدر:‎ 


(22) http://openid.net/specs/openid-authentication-2 0.html 
(23) http://openid.net/specs/openid-attribute-exchange-1 0.html 


(24) http://janrain.com/resources/industry-research/consumer-perceptions-of-online-registration-and-social-login 
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الفصل الثامن 


بروتوكول :(OAuth)‏ 
تم تصميم بروتوكول (OpenID)‏ للتعامل مع حالة الاستخدام التقليدية لتطبيقات 
الشبكة - والمتمثلة في شخص ما يجلس أمام متصفح الشبكة للوصول إلى الخدمة. لكن 
وبعد تطوير بروتوكول (OpenID)‏ بوقت قصير ظهرت حالتان جديدتان من حالات 
الاستخدام وهما: مواقع وتطبيقات الشبكة التي تعتمد على ال مزج بين محتويات الشبكة 
الأخرى (web mashups)‏ وتطبيقات الأجهزة المحمولة. الاستخدام الأول وهو ال web)‏ 
(mashups‏ وهو عبارة عن صفحة ويب أو تطبيق تقدم خدمة جديدة من خلال دمج 
بيانات واحد أو أكثر من واجهة برمجة التطبيقات (API)‏ على الإنترنت. على سبيل «JUL‏ 
ال موقع الإلكتروني لمنظمة (BigHugeLabs) (http//bighugelabs.com)‏ يستخدم صور 
واجهة برمجة التطبيقات من موقع (Flickr)‏ لإنشاء ال ملصقات. والصور ال مزينة: وأنواع 
أخرى عديدة من الصورة الجديدة. ويوجد الآلاف من المواقع التي تستخدم واجهة برمجة 
تطبيقات خرائط (Google Maps) (hups//developers.google.com/maps) daga‏ وممكن من خلال 
هذه التطبيقات أخذ جولة على مصانع الخمور في أي مكان في الولايات المتحدة http://)‏ 
(winesandtimes.com‏ كما هكن رؤية التوجهات الحالية موقع تويتر حسب الموقع http://)‏ 
(uendsmap.com‏ (الشكل (VEA‏ ولا هكن حماية واجهة برمجة التطبيقات ا مستخدمة من قبل 
ال (mashups)‏ بواسطة بروتوكول (OpenID)‏ لأنه لا يتم الوصول إليها بواسطة شخص 
يستطيع المصادقة على مزود (OpenID)‏ بل يتم الوصول إلى واجهة برمجة التطبيقات 

بواسطة تطبيق ويب ee‏ البيانات ويُنشئ ال (mashups)‏ 


(http://trendsmap.com) :)١5-8( الشكل‎ 
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إدارة الهوية والوصول 


وبا مشل فإن تطبيقات الأجهزة المحمولة مثل الهواتف الذكية والأجهزة اللوحية تقوم 
بالوصول إلى واجهة برمجة التطبيقات على شبكة الإنترنت لاسترجاع ومعالجة البيانات 
للمستخدم لتعزيز قدراتهم المحلية. مثلاً في حال حصولك على نقاط عالية في لعبة على 
الهاتف الذي فإن هذه اللعبة قد تسمح لك بتحديث حالتك على تويتر أو فيسبوك» ولكنك 
لن ترغب في منح حق الوصول الكامل (لتحديث قائمة الأصدقاء الخاصة «tb‏ على سبيل 
(JULI‏ لمطور اللعبة. لذلك هناك حاجة لبروتوكول يسمح للمستخدم بمنح التطبيق أو 
الخدمة حق الوصول موارد محددة ولفترة محدودة من الوقت دون إعطاء بيانات الاعتماد 
الخاصة به. وقد تم تطوير بروتوكول (OAuth)‏ أو بروتوكول «التصريح المفتوح» open)‏ 
(authorization‏ لتلبية هذه الحاجة. ووفقا للصفحة الرئيسية لتقنية (OAuth)‏ فإن 
هذا البروتوكول هو آلية تسمح للمستخدم منح حق الوصول من موارد خاصة في موقع ما 
(مزود الخدمة) إلى موقع آخر (العميل). ويوضح الشكل (10-A)‏ ممحة عامة عن البروتوكول. 
وأول شيء يجب عليك أن تعرفه عن بروتوكول (OAuth)‏ هو أنه ليس بروتوكولاً 
للمصادقة على الرغم من أن الكثير من الناس يعتقد بالخطأ أنه كذلك. وفي الواقع أن 
بروتوكول (OAuth)‏ يتعامل مع المصادقة حيث يعمل على توفير تطبيق الشبكة (عميل- 
(OAuth‏ بوسيلة لطلب الوصول إلى واحد من الموارد أو أكثر (النطاق) من المستخدم (مالك 
ا موارد) من خلال خادم التصريح التابع لبروتوكول (OAuth)‏ ويكون قادراً على استخدام 
التصريح لفترة زمنية ممتدةء كما يسمح للمستخدم بإلغاء الوصول في أي وقت. 
وقبل أن يتمكن العميل من إرسال الطلبات إلى خادم التصريح» يجب أن يقوم التطبيق 
بتسجيل أحد ال معرّفات مع الخادم» كما يجب أن يتلقى بيانات اعتماد العميل» والتي تكون 
عادة في شكل كلمة مرور أو سر مشترك. فعندما يحتاج العميل إلى الوصول إلى مورد ما 
لأول مرة يتم إعادة توجيه وكيل المستخدم التابع EUU‏ الموارد (المتصفح أو تطبيق الأجهزة 
المحمولة) إلى خادم التصريح مع نطاق الطلب ومعرف العميل (la & Ib)‏ ويقوم خادم 
التصريح مصادقة المستخدم (Y & Y)‏ (قد يطلب بيانات الاعتماد مباشرة, أو على الأرجح أن 
تكون جزءاً من الارتباط الاتحادي/ شبكة تسجيل الدخول الأحادي) ويقدم قائمة من الموارد 
المطلوبة ويمنحهم فرصة لقبول أو رفض الطلب. 
http://oauth.net/about/‏ )25( 
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الفصل الثامن 


وإذا قام مالك ال مورد بمنح حق الوصول فإنه يتم إعادة توجيه وكيل المستخدم إلى 
عميل بروتوكول (OAuth)‏ مع رمز .(4a & 4b) gu pail‏ بعد ذلك يقوم عميل (OAuth)‏ 
بإرسال رمز التصريح وبيانات اعتماد العميل والتي أنشئت سابقا مع خادم التصريح )6( 
ويقوم خادم التصريح بالتحقق من بيانات اعتماد العميل وطلبه ثم يُصدر رمزا للوصول 
(1) والذي يستطيع العميل استخدامه للوصول للموارد المحمية (۷). ويستطيع عميل 
(OAuth)‏ الاستمرار في استخدام رمز الوصول حتى نهاية مدته الزمنية أو حتى يقوم مالك 
الموارد بتعطيله. 


وتعمل معظم مواقع شبكات التواصل الاجتماعي Le‏ في ذلك الفيسبوك (Facebook)‏ 
وتويتر (Twitter)‏ وفورسكوير (Foursquare)‏ وجوجل بلس (Google)‏ على توفير الوصول 
إلى خادم التصريح في بروتوكول (OAuth)‏ وإذا كنت في أي وقت مضى قد سمحت لتطبيق 
ما أن يعلق على جدولك الزمني في فيسبوك» أو أن يضع رسالة في حساب تويتر الخاص «tb‏ 
فعندها تصبح أنت مالك الموارد في معاملة (OAuth)‏ والمشكلة الرئيسية في بروتوكول 
(OAuth)‏ أن مصادقة المستخدم متروكة إلى خادم التصريح مما يعني أن المستخدم إذا كان 
لديه عملاء يرغبون في الوصول إلى ثلاث خدمات مختلفة تستخدم مصادقة (OAuth)‏ 
عندها يتوجب eade‏ المصادقة ثلاث مرات منفصلة. ويعتقد الكثير من اللمطورين أن 
بروتوكول (OAuth)‏ «جيد Le‏ فيه الكفاية» كنظام مصادقة» وذلك لأن المطورين يشعرون 
بأنه إذا كان خادم التصريح يُصدر رمز التصريح لطلب بروتوكول (OpenID)‏ فإنه يتم 
التحقق من هوية ال مستخدم كما يتم الثقة في المصادقة. 


الشكل :(Y0-A)‏ مرور الرمز في بروتوكول (OAuth)‏ 
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إدارة الهوية والوصول 


وإذا استخدم رمز وصول بروتوكول (OAuth)‏ للمصادقة والتصريح فإن هناك إمكانية 
أن يقوم العميل السيئ بإساءة استخدام الرمز وانتحال شخصية المستخدم في أي موقع 
آخر يستخدم خدمة التصريح نفسها. وفي معظم التطبيقات التي يُستخدم فيها بروتوكول 
(OAuth)‏ فإن مخاطر هذا النوع من الهجمات تعد الأقل لأن الموارد المحمية ببروتوكول 
(OAuth)‏ (شبكات وسائل التواصل الاجتماعيء والمدونات الإلكترونية: وغيرها) لا تعد 
موارد ثمينة. ومع بدء المصارف البنكية والمؤسسات امالية تطبيق بروتوكول (OAuth)‏ 
أصبح الهدف أكثر قيمة وأكثر عرضة للاستغلال. ويوجد بروتوكول مُقترح حديثاً وهو 
بروتوكول (OpenID Connect)‏ والذي يجمع بين بروتوكول (OAuth)‏ للتصریح» 
وبروتوكول (OpenID)‏ للمصادقة, كما يضم عناصر من بروتوكول «لغة تمييز التأكيدات 
الأمنية» وذلك لأمن الرسائل في معيار واحد"". وما زال هناك الكثير لإضافته في تصميم 
بروتوكول (OpenID Connect)‏ وما Jlj‏ أمام هذا البروتوكول العديد من السنوات 
للوصول إلى شعبية بروتوكول (OAuth)‏ لكن هذا البروتوكول جدير بالذكر كتقنية لاحقة 
لبرتوكول (OAuth)‏ 

وهناك طريقة مبسطة معرفة كيفية استخدام بروتوكول (OAuth)‏ في الواقع العملي 
من خلال إنشاء تطبيق (4 (MVC‏ باستخدام قالب من قوالب الإنترنت في برنامج Visual)‏ 
(Y+ \Y Studio‏ ويقدم تطبيق )4 (MVC‏ آلية تتضمن بروتوكول (OAuth)‏ بوصفه أحد 
مواصفاتها لمصادقة المستخدم وتسمى هذه الألية ب (SimpleMembershipProvider)‏ 
ولتنفيذ بروتوكول (OAuth)‏ يقوم تطبيق )4 (MVC‏ باستخدام جدول يسمى ) webpages‏ 
(OAuthMembership‏ وامموضحة هيكلته à‏ الشكل (VI-A)‏ ويعد عمود (Userid)‏ هو 
امفتاح x‏ لسجل ال مستخدم في التطبيق المحلي. ومن خلال جدول ) webpages‏ 
(OAuthMembership‏ وتقوم آلية (SimpleMembershipProvider)‏ بربط معرف 
المستخدم المحلي با معلومات التعريفية للمستخدم والموجودة لدى ال مزود البعيد مثل 
فيسبوك وتويتر. وبمجرد تكوين هذا Jas JI‏ يستطيع المستخدم عندها من تقديم بيانات 
اعتماده للمزود البعيد. ويقوم التطبيق المحلي بالتحقق من تلك البيانات مع المزود Jus]‏ 
وإذا أكدها الطرف الثالث» يتم السماح للمستخدم بالوصول إلى التطبيق المحلي. 


(26) http://openid.net/connect 
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وتجدر الإشارة إلى أن المستخدم» وليس التطبيقء هو من يقوم بالربط بين مُعرف 
المستخدم gol‏ وامعرف لدى الطرف الثالث. وعلى ذلك فإن التطبيق يسمح فقط 
X‏ للمستخدم بإنشاء تلك الرابطة. 
:(VV-A) JS JI‏ تطبيق (UserId)‏ و EGER‏ 


T- j م‎ X dbo.webpages OAu...mbership [Des ign] 
(Q ^ MaxRows: 1000 - OA 


Provider ProviderUserld Userld 
* NULL NULL NULL 


نموذج حالة-ماركوس هس :(Markus Hess)‏ 

استخدم AS‏ ستول (Cliff Stoll)‏ وهو ble‏ فضاء وهاوي لتقنية ال معلومات» قوة 
alae‏ الحادة لديه لتعقب شاب أماني متطفل يدعى ماركوس هس (Markus Hess)‏ 
والذي تمكن من الدخول بنجاح للعديد من المنشآت العسكرية الأمريكية على مدى عام 
خلال الفترة 191/17-1147. وبعد حصول هذا الشاب المتطفل على العديد من الملفات» el‏ 
ببيعها لمخابرات الاتحاد السوفيتي السابق (KGB)‏ وبغض النظر عن إصرار هذا الشاب 
ا متطفل ومهارته فقد تمكن من الدخول إلى أجهزة الحاسب الآلي في معظم الحالات من 
خلال استغلال كلمات ال مرور الضعيفة. ويوضح الشكل (YV-A)‏ مسار هجمات هذا الشاب 
المتطفل إلى ال منشآت العسكرية. 

وبمراقبة ا مطبوعات التفصيلية لنشاط الشاب المتطفل اتضح أنه حاول دخول قرابة >0٠‏ 
جهاز حاسب «Jf‏ وذلك باستخدام أسماء الحسابات الشائعة (roof) Jis‏ أو (guest)‏ أو 
(system)‏ أو (6614) بالإضافة إلى كلمات المرور الافتراضية أو الشائعة. وباستخدام بعض 
الأدوات البرمجية البسيطة (who) Ji»‏ و (finger)‏ والتي تدون بيانات ا لمستخدمين الذين 
تم تسجيل دخولهم إلى النظام» استطاع الشاب المتطفل من إيجاد أسماء حسابات فعلية 
لبعض المستخدمين. وفي نحو (X0)‏ من الأجهزة التي حاول الشاب المتطفل اختراقهاء كانت 
أسماء الحسابات الافتراضية وكلمات السر صحيحة» على الرغم من أنه كان من المتوقع 
أن تكوق تلمك الأجيزة آمنة. وغانبا ما تعطي بيانات الاعتماد الافتراضية تلك امتيازات 
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مدير النظام La‏ وفي بعض الحالات كان يحاول الشاب المتطفل بمجرد دخوله إلى النظام 
استغلال نقاط ضعف البرمجيات المعروفة لرفع مستوى الامتيازات ليصبح مديرا للنظام. 
s‏ حالات أخرى كان يستغل المشكلات التي حظيت بتغطية إعلامية في العديد من أنظمة 
التشغيل للحصول على «الجذر» ولتحقيق امتيازات مدير النظام. 

وقام هذا الشاب المتطفل أيضاً بكسر كلمات المرور المشفرة. حيث كان نظام التشغيل 
المستخدم هو نظام ينكس (UNIX)‏ والذي يحفظ كلمات ال مرور بصيغة مشفرة لكنه يضعها 
في مكان مقروء علنا. وأظهرت سجلات حركة المرور في النظام أن الشاب المتطفل كان يقوم 
ance‏ ماغات كات اللرور المقفرة من الأنظمة المخارقة إل جهان «paced‏ وة DS‏ 
أسبوع يقوم بإعادة الاتصال بنفس أجهزة الحاسب JYI‏ المخترقة ويقوم بتسجيل الدخول 
إلى حسابات قائمة وبكلمات مرور صحيحة. وبعد التحقيق اتضح أن كلمات المرور التي 
تم تخمينها بنجاح كانت كلمات إنجليزية - أسماء شائعة» أو أسماء «oS Ul‏ مما يشير إلى 
استخدام هجمات القاموس حيث el‏ بتشفير كلمات القاموس بالتسلسل ومقارنة النتائج 
بكلمات المرور التي قام بتحميلها سابقا. 

الشكل :)١17/-8(‏ مسار هجمات الشاب المتطفل إلى المنشآت العسكرية 


اتصا 
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وساعدت هذه التجربة المحققين على إدراك الضعف في أمان كلمات مرور في بعض 
الإصدارات من نظام ينكس (UNIX)‏ كما ساعدت على djs]‏ آثار ذلك الضعف. do‏ 
ذلك الوقت كانت إصدارات نظام ينكس (UNIX)‏ تفتقر إلى اعتبار بعض كلمات ال مرور 
متقادمة ومنتهية الصلاحية» كما تفتقر إلى استثناء كلمات القاموس من كلمات ا مرور. 
tails‏ لا يعد السماح لأي شخص بقراءة كلمات المرور والثقة في أمن نظام التشفير Lats‏ 
في تلك الإصدارات من نظام ينكس. وم تهتم المبادئ التوجيهية الصادرة من مختبر لورنس 
بيركلي الوطني (Lawrence Berkeley lab)‏ بتعزيز اختيار كلمات مرور جيدة مما أدى إلى 
إمكانية تخمين (XY*)‏ من كلمات مرور المستخدمين باستخدام كلمات القاموس. 


Stoll. C. «Stalking the wily hacker» Communications of the ACM, May 1988,31(5): 
484-497 


Stoll. C. «The Cuckoo's egg,» Doubleday, http://en.wikipedia.orgl wikilThe Cuckoo 's Egg 


الملخص: 

في هذا الفصل استعرضنا عمليات إدارة الهوية وإدارة الوصول بدءاً من هوية المستخدم 
في نظام السجلات ووصولاً لآليات المصادقة والتصريح. كما استعرضنا مراحل إدارة الهوية - 
اكتشاف الهوية, وملاءمة الهوية» وإثراء الهوية. كما استعرضنا LAS‏ استخدام (سياسات 
التحكم في الوصول المعتمد على الدور) في إدارة الوصول. 

والمصادقة هي العملية المُمستخدمة في التحقق من هوية صاحب الحساب. وتتطلب 
المصادقة نوعين من المعلومات: الأول أساسي (اسم المستخدم) والثاني بيانات الاعتماد. 
وبيانات الاعتماد يمكن تقسيمها إلى ثلاث COLS‏ عريضة هي: كلمات الممرورء والقطع 
الرمزية والقياسات الحيوية. والمصادقة المتعددة العوامل تتطلب اثنين أو أكثر من بيانات 
الاعتماد ا مختلفة حتى تُستخدم معاً للتحقق من صحة الهوية. 


وتسمح أنظمة «تسجيل الدخول الأحادي» للمستخدمين بالوصول إلى التطبيقات 
الموجودة في الأنظمة المتعددة داخل المنظمة الواحدة عن طريق المصادقة لمرة واحدة فقط. 


EEA‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 





إدارة الهوية والوصول 


وبعض بروتوكولات «تسجيل الدخول الأحادي». مثل بروتوكول كيربيروس Kerberos)‏ 
مصمم للاستخدام على الأجهزة الحاسوبية المكتبية. وبعضها الآخرء مثل برتوكول (خدمة 
المصادقة المركزية) وبروتوكول المصادقة المعتمدة على الرموز.ء مصمم للاستخدام على 
تطبيقات الشبكة. أما برتوكولات الارتباط الاتحادي مثل بروتوكول (Shibboleth)‏ 
وبروتوكول (OpenID)‏ فإنها تسمح للمستخدمين من منظمات متعددة بالوصول إلى 
ا موارد المشتركة, وتقوم بتوسيع تجربة «تسجيل الدخول الأحادي» خارج ال منظمة الواحدة. 


أسئلة مراجعة للفصل: 


.) 


yY 


NVE 


ما إدارة الهوية؟ 

اشرح باختصار نموذج مراحل إدارة الهوية. 

3(Systems of Records) ما نظام السجلات‎ 

هل يُعد اسم الشخص مُعرفاً جيداً في نظام السجلات؟ علل إجابتك. 

ما الدور الذي يلعبه سجل الشخص (Person Registry)‏ في عملية إدارة الهوية؟ 
ما الدور؟ 

ما فصل الممهام؟ 

dac‏ مثالا على سياسات التحكم في الوصول المعتمدة على الدور؟ 


ما الذي تقوم به عملية تدقيق الوصول؟ 


.٠٠‏ ما بيانات الاعتماد؟ 
. ما التصنيفات الثلاثة لبيانات الاعتماد؟ 
. ما أقدم شكل من أشكال بيانات الاعتماد وأبسطها؟ 


ما الفرق ين هحماة الفاموس AJ] E‏ ؟ 


اذكر ميزة واحدة وعيباً واحداً لكل نوع من أنواع بيانات الاعتماد التالية: 


أمن المعلومات وإدارة مخاطر تقنية ا لمعلومات eea‏ 


الفصل الثامن 


40 


.M 


.N 


MA 


.M 


YA 


VY 


£o. 


OUS ٠‏ اطرور. 

٠‏ البطاقات الذكية. 

٠‏ القطع الرمزية. 

e‏ مقارنة القياسات الحيوية. 


ما العوامل السبعة التي يجب أخذها في الاعتبار عند تحديد مدى ملاءمة العلامات 


الحيوية؟ 
اذكر ثلاثة من إيجابيات «تسجيل الدخول الأحادي» وثلاثة من سلبياتها واشرحها 
باختصار. l‏ 
ما اسم هيكل «تسجيل الدخول الأحادي» التابع لشركة مايكروسوفت؟ 
ما رمز المصادقة؟ 
اذكر ميزة واحدة Lusg‏ واحداً U‏ يلي: 
٠‏ الرمز ال مشترك. 


45s, i assa eae dosis 
(Shibboleth) بروتوكول‎ ٠ 
(OpenID) بروتوكول‎ ٠ 


(OAuth) بروتوكول‎ ٠ 


Y‏ اذكر وجهاً واحداً من أوجه التشابه بين بروتوكول (خدمة المصادقة المركزية) 


وبروتوكول (Kerberos)‏ 
ما الغرض من الارتباط الاتحادي؟ 


أين تم تأسيس أول ارتباط اتحادي بواسطة بروتوكول «لغة تمييز التأكيدات الأمنية» 
S(Security Assertion Markup Language)‏ وماذا كان يسمى؟ 


أمن المعلومات وإدارة مخاطر تقنية المعلومات 


إدارة الهوية والوصول 


SYY‏ الأدوار الأربعة للارتباط الاتحادي بواسطة بروتوكول «لغة تمييز التأكيدات 
الأمنية» واشرح كلا منها. 


.٤‏ اشرح اثنين من الاختلافات في الخصائص بين بروتوكول )2.0 (OpenID‏ وبروتوكول 
(OpenID 1.0)‏ 


web) ما المواقع والتطبيقات التي تعتمد على ال مزج بين محتويات الشبكة الأخرى‎ .YO 

؟)0Aut1( تعتمد في وظائفها على بروتوكول‎ 150.5 $(mashups 
أسئلة على نموذج الحالة:‎ 

.١‏ ماهي بعض الأنشطة التي تقوم بها حاليا مختبرات لورنس بيركلي الوطني 
*(Lawrence Berkeley lab)‏ 

؟. في رأيك ما المعلومات القيمة التي قد يتمكن ال مهاجم من الحصول عليها في حال 
الدخول غير المصرح به لأجهزة الحاسب الآلي في تلك المختبرات؟ 

۳. ما الخطوات التي تم اتخاذها في تلك المختبرات للحد من احتمال الوقوع في تلك 
الاختراقات؟ (يجب أن تكون قادرا على إيجاد هذه المعلومات من الإنترنت). 

ع. ما نظام التشغيل الذي تستخدمه في أكثر الأحيان؟ 

0 كيف تستطيع مراقبة جميع الحسابات وخصائصها في نظام التشغيل هذا؟ 

1. هل يوجد حسابات افتراضية للمستخدم à‏ نظامك (ضيف. مسؤول phil‏ 
وغيرها)؟ 

. إذا كان نظامك يحتوي على تلك الحسابات» هل ترى أي ثغرات محتملة في جهاز 
حاسبك الآلي بسبب هذه الحسابات؟ 

۸. إذا كانت إجابتك (نعم) للسؤال السابقء ما الذي مكنك ell‏ به لإصلاح تلك 
الثغرات؟ 


أمن المعلومات وإدارة مخاطر تقنية ال معلومات 60 


الفصل الثامن 


نشاط التدريب العملي - تطابق الهوية والدمج: 


هذا النشاط يوضح عملية تطابق الهوية والدمج ا مستخدمة من قبل سجل الشخص أثناء 
جامعة ولاية الشمس ال مشرقة وستقوم بإنشاء ملف واحد للبيانات. 


.١‏ قم بتحميل جدول (human. resources.xls)‏ والذي يحتوي على بيانات هوية 
الموظف من نظام الموارد البشرية وذلك من الموقع الإلكتروني المصاحب للكتاب. 


۲. قم بتحميل جدول (studencsystem.xls)‏ والذي يحتوي على بيانات هوية الطالب 
من ال موقع الإلكتروني ا لمصاحب للكتاب. 


Y‏ قم بتحميل جدول سجل الشخص (person. registry.xls)‏ من الموقع الإلكتروني 
المصاحب للكتاب. 


.٤‏ باستخدام مخطط تدفق البيانات في الشكل (Y-A)‏ قم بعملية المطابقة والدمج 
للبيانات في جدول اموارد البشرية وجدول الطالب. 


0. قم بتسجيل نتائج عملية المطابقة والدمج في جدول سجل الشخص. 
النتائج المطلوب تسليمها: قم بتسليم محتويات جدول سجل الشخص إلى أستاذ المادة. 
مثال: 


بيانات الموارد البشرية: 


oni 
au [oem [o | 


بيانات الطالب: 





£oY‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 





إدارة الهوية والوصول 


نتائج بيانات سجل الشخص: 





المصادقة الثنائية العوامل: 

في النشاط التالي سنطبق استخدام (المصادقة الثنائية العوامل). وسوف نقوم ببناء 
وتشيت وحدة المصادقة (Google Authenticator)‏ على آلة لينكس الافتراضية والتي سبق 
الحديث lie‏ في الفصول السابقة. ووحدة المصادقة (Google Authenticator)‏ عبارة عن 
تطبيق بكلمة مرور واحدة تعتمد على الوقت» ويعمل هذا التطبيق على الأجهزة ا محمولة 
بنظامي آي أو إس GOS)‏ وآندرويد (Android)‏ وعلى الرغم من أنه تم تطوير وحدة 
المصادقة في الأصل لتوفير (المصادقة الثنائية العوامل) لتطبيقات الشبكة المصممة من قبل 
جوجلء إلا أنه هكن استخدامها عند تسجيل الدخول إلى نظام لينكس. 

ولتثبيت وحدة المصادقة (Google Authenticator)‏ و «su»‏ في حساب الجذر: 


[alice2sunshine ~]$ su - 


Password: thisisasecret 





قم C‏ ملفات cus‏ وحدة المصادقة إلى دليل مۇقٽت› وقم باستخراج الملغات وبناء 
وحدة المصادقة. 


أمن المعلومات وإدارة مخاطر تقنية المعلومات £oY‏ 


الفصل الثامن 


[root?'sunshine ~]# cp /opt/book/chptr8/ 


packages/libpam-google-authenticator- 


1.0-source.tar /tmp/. 


[root&sunshine ~]# cd /tmp 
[root&sunshine /tmp]£ tar xvf libpam- 


google-authenticator-1.0-source.tar 


[root? sunshine /tmp]# cd 
libpam-google-authenticator-1.0-source 


[root@sunshine libpam...]# make 





ويجمع الأمر (make)‏ الشفرة البرمجية إلى مصدر وحدة المصادقة في شكل إرشادات 


بعد ذلك قم بتشغيل الاختبار الآلي: 


[root&sunshine libpam...]* make test 





وقم بتشيت 8229 المصادقة: 


[root&sunshine libpam...]£ make install 





ولتفعيل الوحدة قم بتعديل الامتداد التالي )/ (etc/pam. d/ sshd‏ 33192( مع ما يلي: 


tog‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


إدارة الهوية والوصول 


#%PAM-1.0 

auth required — pam sepermit.so 
auth required pam google authenticator 
so nullok. 

auth include ^ password-auth 
account required — pam nologin.so 


account include ^ password-auth 


password include ^ password-auth 


* pam selinux.so close should be the first 
session rule 

session required pam. selinux.so close 
session required pam loginuid.so 

* pam selinux.so open should only be fol- 
lowed by sessions to be executed in the 
user context 

session required pam selinux.so open 
env. params 

session optional pam keyinit.so 
force revoke 


session include password-auth 





قم بإعادة تشغيل حارس القشرة الآمنة :Security Shell Daemon (SSHd)‏ 


[root&sunshine libpam...]£ service sshd 


restart 





افتح نافذة طرفية جديدة وقم باستخدام (SSH)‏ للوصول إلى حساب آخر JS bU‏ من 
أن الرمز ليس مطلوباً لإدخال شفرة المصادقة وذلك من المستخدمين الذين م يقوموا بتهيئة 
وحدة المصادقة (Google Authenticator)‏ ولاختبار ذلك قم بتسجيل الدخول إلى 
حساب (bobgsunshine)‏ باستخدام (SSH)‏ 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات £00 


الفصل الثامن 


[alice?sunshine Desktop]$ ssh bobésunshine 


The authenticity of host 'sunshine 
(127.0.0.1)' can't be established. 

RSA key fingerprint is 5c:40:15:b8:b7:f4: 
eb:08:14:cd:1b:c7:d0:4c:76:74. 

Are you sure you want to continue con- 
necting (yes/no)? yes 

Warning: Permanently added'sunshine 
(RSA) to the list of known hosts. 
Password: bisforbanana 

Lastlogin: Sun May 12 20:23:01 2013 from 
sunshine.edu 


[bobGsunshine -]$ 





الآن سنقوم بتهيئة وحدة (Google Authenticator) á$3Lall‏ لحساب :(bob@sunshine)‏ 


[bobGsunshine -]$ google-authenticator 
Do you want authentication tokens to be 
time-based (y/n) y 
https://www.google.com/chart?chs-200x200 
&chld-M|0&cht-qr&chl-otpauth://totp/bobe 
sunshine.edu963Fsecret?63 DXPE7E73HK]7S4XB3 
Your new secret key is: XPE7E73HKJ7SAXB3 
Your verification code is 424105 
Your emergency scratch codes are: 

85632437 

55053127 

44712977 

12900353 

82868046 


احفظ رابط ا موقع الناتج عن أمر (google-authenticator)‏ لأنك ستحتاج إليه عند تهيئة الجهاز المحمول الخاص بك. 





£01 أمن المعلومات وإدارة مخاطر تقنية المعلومات 


إدارة الهوية والوصول 


Do you want me to update your «/home/ 


bob/.google authenticator» file (y/n) y 


Do you want to disallow multiple uses of 
the same authentication 
token? This restricts you to one login 


about every 30s, but it increases 


your chances to notice or even prevent 


man-in-the-middle attacks (y/n) y 


By default, tokens are good for 30 sec- 
onds and in order to compensate for 
possible time-skew between the client and 
the server, we allow an extra 


token before and after the current time. 


If you experience problems with poor 
time synchronization, you can increase 


the window from its default 


size of 1:30min to about 4min. Do you want 


to do so (y/n) n 


If the computer that you are logging into 
isn't hardened against brute-force 

login attempts, you can enable rate- 
limiting for the authentication module. 
By default, this limits attackers to no 
more than 3 login attempts every 30s. 


Do you want to enable rate-limiting (y/n) y 





أمن المعلومات وإدارة مخاطر تقنية ال معلومات toV‏ 


الفصل الثامن 


الآن تم ضبط وحدة المصادقة (Google Authenticator)‏ لحساب (bobésunshine)‏ 
والذي eb‏ بتسجيل الدخول للخادم ب (SSH)‏ وقبل اختبار الوحدة ستحتاج إلى تهيئة 
تطبيق وحدة المصادقة الخاص بالأجهزة المحمولة بنظام (iOS)‏ أو نظام (Android)‏ أو 
أنك ستحتاج إلى استخدام واحد من «رموز الشطب في حالات الطوارئ» emergency)‏ 
(scratch codes‏ والتي يوفرها أمر .(google-authenticator)‏ ويستخدم (تطبيق وحدة 
المصادقة الخاص بالأجهزة ا محمولة) طريقة تهيئة مبتكرة حيث يحتوي رمز الامتجابة 
السريعة (QR code)‏ على كل المعلومات المطلوبة لتهيئة الجهاز ال محمول. وقبل تهيئة 
جهازك ال محمول افتح رابط ال موقع الناتج عن أمر (google-authenticator)‏ باستخدام 
متصفح جهازك المكتبي وذلك لعرض رمز الاستجابة السريعة الخاص بالتهيئة. 


تهيئة وحدة المصادقة (Google Authenticator)‏ على جهاز محمول بنظام (105): 


ولاستخدام (تطبيق وحدة المصادقة الخاص بالأجهزة المحمولة) يجب أن يكون لديك جهاز 
آيفون من الجيل الثالث (YG iPhone)‏ أو أحدث ويكون إصدار نظام iOS)‏ 0( أو أحدث. 


قم بزيارة المتجر الإلكتروني لشركة أبل (Apple App Store)‏ 

(Google Authenticator) ابحث عن‎ 

قم بتحميل وتثبيت التطبيق. 

افتح التطبيق. 

انقر على أيقونة زائد. 

اضغط على زر «مسح الباركود» (Scan Barcode)‏ وقم بتوجيه الكاميرا على رمز 
الاستجابة السريعة (الشكل (VA-A‏ 


الشكل (۱۸-۸): تهيئة رمز الاستجابة السريعة 


As 
8 


l ja 






^£0 أمن المعلومات وإدارة مخاطر تقنية المعلومات 


إدارة الهوية والوصول 


تهيئة وحدة المصادقة (Google Authenticator)‏ على جهاز محمول بنظام :(Android)‏ 

ولاستخدام (تطبيق وحدة المصادقة الخاص بالأجهزة المحمولة) يجب أن يكون لديك 
جهاز يعمل بنظام )2.1 (Android‏ أو أحدث. 

(Google Play) قم بزيارة المتجر الإلكتروني لشركة جوجل‎ ٠ 

ه ابحث عن (Google Authenticator)‏ 

esl Cas قم يحمي‎ e 

(Add an Account) انقر على زر «إضافة حساب»‎ ٠ 

(Scan account barcode) اختر «مسح باركود الحساب»‎ o 

إذا كان التطبيق لا يتمكن من تحديد موقع تطبيق ماسح الباركود على جهازك» سيطلب 


منك الجهاز تشيت تطبيق ملسح الباركود. اضغط على زر «تثبيت» (Install)‏ لإنهاء عملية 
التنصيب. 


قم بتوجيه الكاميرا على رمز الاستجابة السريعة. 


استخدام وحدة المصادقة (Google Authenticator)‏ على الأجهزة المحمولة: 

وبعد أن قمت بتهيئة جهازك المحمولء يمكنك الآن تسجيل الدخول إلى حساب bob)‏ 
(sunshine‏ باستخدام كلمة المرور ورمز وحدة المصادقة وذلك عبر (SSH)‏ افتح (تطبيق 
وحدة المصادقة الخاص بالأجهزة المحمولة) مرة أخرى. وسيقدم لك التطبيق رمز مصادقة 
جديد كل ٠١‏ ثانية. وبإمكانك استعراض الوقت المنقضي للرمز الحالي من خلال مشاهدة 
الدائرة الموجودة في الزاوية اليسرى من الجهة العليا من الجهاز. 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات £0۹ 


الفصل الثامن 


[alice8sunshine Desktop]$ ssh bobesunshine 
Validation Code: — «enter Google 
Authenticator code» 


Password: bisforbanana 


Lastlogin: Sun May 12 22:11:03 2013 from 


sunshine.edu 


[bobgsunshine -]$ 





وكما ترى أن تسجيل الدخول كان ناجحا باستخدام كلمة المرور ورمز (تطبيق $429 
المصادقة الخاص بالأجهزة المحمولة). ومن الآن وصاعدا فإنه سيتم طلب رمز تحقق على 
جميع محاولات تسجيل الدخول لحساب (bobesunshine)‏ عبر (SSH)‏ وإذا كنت 
ترغب في إيقاف (المصادقة الثنائية العوامل) للحساب. ما عليك إلا إزالة ملف ) google‏ 
(authenticator‏ من الدليل الرئيسي. 


استخدام وحدة المصادقة (Google Authenticator)‏ بدون جهاز محمول: 


ماذا لو فقدت جهازك المحمول أو لم تتمكن من الدخول إلى (تطبيق وحدة المصادقة 
الخاص بالأجهزة المحمولة) (بسبب نفاذ البطارية» أو أن الجهاز مكسورء أو غيرها)؟ في مثل 
هذه الحالات يتم استخدام «رموز الشطب في حالات الطوارئ» emergency scratch)‏ 
65 والتي يتم إدراجها عند تشغيل أمر (google-authenticator)‏ ورموز الشطب 
هى عبارة عن رموز مصادقة خاصة ممكن استخدامها بدلا من تطبيق الجهاز ال محمول. فإذا 
وجدت نفسك logs‏ ما بدون جهازك ا محمول» بإمكانك استخدام رموز الشطب. ويجب 
استخدام الرموز بالترتيب الذي تم سردها فيه من أعلى إلى أسفلء كما يمكن أن استخدام كل 
رمز مرة واحدة فقط (الشكل ۱۹-۸). وإذا قمت باستخدام جميع الرموز الخمسة. ستحتاج 
إلى تشغيل أمر (google-authenticator)‏ مرة أخرى لتوليد رموز جديدة. 


سؤال: 
العديد من المواقع وخدمات الإنترنت مثل جوجل jugis‏ وفيسبوك لديها (مصادقة ثنائية 


العوامل) لكنها اختيارية. هل تقوم باستخدام أي من تلك الخدمات التي توفر هذا الخيار؟ 
وإذا كان UIS‏ هل تستخدم (المصادقة الثنائية العوامل) مع حسابك؟ علل إجابتك. 


£v‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


إدارة الهوية والوصول 


الشكل :)١9-8(‏ وحدة المصادقة من جوجل على نظام (iOS)‏ 





300904 





تمرين التفكير النقدي - إقطاعية الحلول الأمنية للإنترنت؟ 

الإقطاعية: النظام الاجتماعي السائد في العصور الوسطى حيث تمسك طبقة النبلاء 
بالأراضي من السلطة الملكية في مقابل الخدمة العسكرية: كما يصبح التابعون مستأجرين 
لدى طبقة النبلاء حيث يتم إجبار الفلاحين (أو العبيد) على العيش في أراضي أسيادهم مع 
تقديم الإجلال والعمل وحصة من المحصول في مقابل الحماية العسكرية Ja ALI‏ 

أشار تمرين التفكير النقدي في الفصل الرابع من هذا الكتاب إلى تفكير مصممي الإنترنت 
أن الأمن سيكون مسؤولية المستخدم Ila. lg]‏ كان مصين هذا التفكير؟ due‏ لقد Ge‏ 
أنه من الصعب للغاية بالنسبة للمستخدم النهائي مواكبة المتطلبات الأمنية. 

خلال ذروة استخدام الأجهزة الحاسوبية المكتبيةء أخذ المستخدم النهائي على عاتقه 
مسؤولية أمن أجهزة الحاسب الآلي. وقام بعض مزودي خدمات الإنترنت بتقديم اشتراكات 
dod Sue Clans docs‏ قرومات بوصفيا جوا عن esas‏ الات القدمة لل 
لكن مسؤولية الأمن ظلت لدى المستخدم النهائي. 

(27) http://www.oxforddictionaries.com 


أمن المعلومات وإدارة مخاطر تقنية المعلومات ا 





الفصل الثامن 


ومع انتشار الهواتف الذكية والأجهزة اللوحيةء تغير هذا النموذج إلى حد كبير في وقت 
قصير. ويتوقع المستخدم النهائي أن أمن الأجهزة متوفر افتراضياً ويعمل مباشرة لجميع 
المستخدمين. وكما كتب «بروس شنير» à (Bruce Schneier)‏ مدونته الإلكترونية أن 
هناك نوعين من التكنولوجيا الخديثة جغلا ذلك أمرا واقعا: الحوسبة السحابية والمنضات 
التي تكون 3 تحت تحكم المورد. وكلما ازدادت شعبية الحوسبة السحابية, أصبح المزيد من 
معلوماتنا موجودا في أجهزة الحاسب الآلي المملوكة من قبل الشركات ها في ذلك جوجلء 
«Jos‏ ومايكروس وفت (المستندات والبريد الإلكتروني)» وفيسبوك (الصور). ومن خلال 
الأجهزة الذكيةء قامت (المنصات التي تكون تحت تحكم المورد) بتحويل السيطرة على 
الأجهزة الذكية إلى موردي المنصات حيث يتم التحكم بالهواتف الذكية والأجهزة اللوحية 
بالكامل تقريباً من قبل الموردين. 

d‏ هذا العام حصلنا على مستويات مرضية جداً من أمن المعلومات, فهناك شخص 
يعرف أكثر منا يهتم بالأمنء ولكن يتم تزويدنا بتفاصيل قليلة عن ذلك. وأحيانا لا يتم 
تزويدنا بأي معلومات. لا يمكننا مناقشة العناصر الأمنية مع هؤلاء ا موردين ولا يمكننا 
التفاوض معهم بخصوص الميزات الأمنية. كيف يتم استخدام معلومات البريد الإلكتروني 
في حساب جوجل أو كيف يتم استخدام الصور ف حشاب فيسبوك؟ اللستخدمون عموماً 
ليس لديهم فكرة عن ذلك. فالمستخدمون لا يستطيعون عرض املفات أو التحكم بملفات 
تعريف الارتباط في أجهزتهم اللوحية. وكما كتب «بروس شنير» (Bruce Schneier)‏ فإن 
ا مستخدمين «لديهم رؤية محدودة جدا عن أمن فيسبوك وليس لديهم أي فكرة عن نظام 
التشغيل الذي يستخد مونه». 

وقد أظهر المستخدمون أنهم يحبون هذه المفاضلة - مزيد من الأمن والراحة في مقابل 
تحكم محدود على الأمن مع الثقة بأنه سيتم الوفاء بالأمن على أكمل وجه. وربما يكون 
ذلك صحيحاً من وجهة نظر الأمن وحده. فا موردون يممكنهم الوفاء بالأمن أفضل بكثير 
من معظم اللمستخدمين النهائيين. النسخ الاحتياطي التلقائي» والكشف عن البرامج الضارة, 
والتحديثات التلقائية جميعها خدمات أساسية مقدمة بلا تكلفة تقريباً. ومع ذلك وعلى 
الرغم من كل هذه الفوائد الضخمة. فإن المستخدمين في الأصل على علاقة إقطاعية مع 
مزودي الخدمات السحابية ومع (المنصات التي تكون تحت تحكم المورد). 


ew‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


إدارة الهوية والوصول 


وبين ما كانت العملة في العصر الإقطاعي في العصور الوسطى هي (LIN‏ فإنه في 
النسخة الحديثة من العصر الاقطاعي العملة هي البيانات. فا مستخدمون يذعنون لشروط 
مزودي الخدمة فيما يتعلق بالبيانات» كما يثق المستخدمون أن الموردين سيوفرون لهم 
الأمن. وعندما تصبح الخدمات ASÍ‏ تعقيدا مع توفير مناقع أكش سيكون هناك استدراج 
أكثر للمستخدمين لمشاركة المزيد من بياناتهم مع مزودي الخدمات السحابية» وذلك Y‏ 
يشمل البريد الإلكتروني فقطء بل يشمل أيضاً التقوهات ودفاتر العناوين. وإذا كان استيراد 
تلك البيانات وتصديرها يستغرق وقتاً ونحن سعداء مع مزود واحد ومنصة واحدة فقد 
نكون على استعداد للثقة الكاملة مزود واحد. 


Qa 15]‏ هم أسياد الإقطاعية اليوم؟ جوجل وآبل هي أمثلة متعارفة. «Ds as Sola‏ 
وفيس بوك وأمازون» وياهوء وفيرايزون أيضاً من المنافسين على أسياد الاقطاعية اليوم. ما 
الأوجه الدفاعية لدى المستخدم ضد التغييرات التعسفية لشروط الخدمة لهؤلاء الموردين؟ 
نحن نعرف الآن على سبيل JULI‏ أن جميع هؤلاء الموردين تقريباً يقومون بمشاركة بياناتنا 
مع الحكومة دون موافقتنا أو إشعارنا بذلك. فمعظم المستخدمين يعلمون أن الموردين 
يبيعون هذه البيانات بهدف coo JI‏ لكن نسبة قليلة من المستخدمينء إن وجدت» يعلمون 
كيف يتم ذلك» أو لأي غرضء أو بأي شكل. 

في العصور الوسطى الأوروبية رهن الناس ولاءهم للسيد الاقطاعي في مقابل الحصول 
على حمايته. اليوم نحن تطوعنا بولائنا للمزود في مقابل الحصول على حماية هذا المزود. 
في العصور الوسطى الأوروبية كان الفلاحون يعملون في حقول أسيادهم. اليوم نحن نكدح 
على مواقعهم الإلكترونية من خلال توفير البيانات والمعلومات الشخصية (مثل استعلامات 
«ul‏ والرسائل الإلكترونية» والإعلانات» والإعجابات). 


Schneier. B. «Feudal security? http://www.schneier.com/blog/archives/2012/12/ 
feudal_sec.html (accessed 07/1412013) 


Schneier, B. «More on feudal security» http://www.schneier.com/blog/ 


archives/2013/06/more_on_feudal.html (accessed 07/14/2013) 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات ew‏ 


الفصل الثامن 


أسئلة على تمرين التفكير النقدى: 

.١‏ هل توافق على أوجه التشابه التي كتبها بروس شنير (Bruce Schneier)‏ بين 
الإقطاعية في العصور الوسطى وعلاقة مستخدمي التكنولوجية الحديثة بالشركات 
الكبيرة المزودة للخدمات Jis‏ جوجل وأبل؟ 

Y‏ يعتقد بروس شنير (Bruce Schneier)‏ أن التدخل الحكومي à‏ عام تكنولوجيات 
اليوم هو «السبيل الوحيد» لإصلاح علاقة القوة غير المتكافئة بين الشركات الكبيرة 
امقدمة للخدمات وا مستخدم النهائي. às‏ ضوء ما کشف عنه من قيام الحكومة 
الأمريكية امثير للجدل مراقبة بيانات مواطني الولايات المتحدة الأمريكية. هل تتفق 
مع (بروس شنير) في تقييمه لهذا الموضوع؟ 


۳. هل تعتقد أن السوق الحر يمكن أن يخفف بعضا من مخاوف بروس شنير؟ 


تصميم حالة: 
في جامعة ولاية الشمس اممشرقة» لدى المستخدمين القدرة على استخدام شاشة تسجيل 
الدخول وكلمات اللمرور الخاصة بالجامعة, وذلك لإدارة تسجيل المقررات الدراسية à‏ 
كل فصل دراسي. وبعد انتهاء فصل الخريف مباشرة. وبالتحديد بعد انتهاء فترة الحذف 
والإضافة» تم استدعاؤك إلى مكتب التسجيلء وذلك للتحقيق في قضية طالبة تشكو من 
حذف جميع مقرراتها الدراسية من النظامء لكنها تدعي أنها م تقم بذلك. 
.١‏ بعد قيامك بالبحث عن مفهوم عدم التنصل ((Non-repudiation)‏ صف هذا 
ا مفهوم. 
Y‏ كيف ينطبق هذا ال مفهوم على المصادقة الإلكترونية وبالخصوص ف الحالة اممذكورة 
أعلاه. 
بعد إجراء مزيد من التحقيق» اكتشفت أن صديق الطالبة السابقء والذي كان منزعجا 
من صديقته بسبب تركها له» استخدم بيانات اعتماد الطالبة الخاصة بالجامعة لتسجيل 
الدخول إلى النظام وحذف جميع مقرراتها الدراسية. 


e‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


إدارة الهوية والوصول 


۳. في اعتقادك كيف حصل صديق الطالبة على بيانات اعتماد حسابها الجامعي؟ 

.٤‏ كيف هكن تعديل النظام لاستخدام القياسات الحيوية للتأكد من «عدم التنصل»؟ 

5. بالإضافة إلى القياسات الحيوية: ما المقترحات الأخرى المتعلقة بمنهجيات المصادقة, 
التقنية أو غير التقنية» والتي ستعرضها للتأكد من «عدم التنصل»؟ 

. وما أن الجامعات تتحرك أكثر فأكثر نحو الدورات الدراسية على الإنترنت» ما الحالات 


الأخرى التي لا يكون فيها تسجيل الدخول وكلمة المرور كافياً للتأكد من هوية 
الطالب ولا كافيا كذلك بنع الاحتيال؟ 


. كيف هكن للطالبة منع هذه الحادثة؟ 


أمن المعلومات وإدارة مخاطر تقنية المعلومات £10 


£u" 


الفصل التاسع 
الضوابط الأمنية باستخدام المكونات المادية والبرمجيات 


نظرة عامة: 

في هذا الفصل سنكمل النظرة التفصيلية ممكونات النموذج الأساسي لأمن المعلومات 
والذي تم عرضه في الفصل الرابع من هذا الكتاب. ناقشنا في الفصل الخامس موضوع 
تحديد الأصول والتعرف على خصائصها. وفي الفصل السادس ناقشنا موضوع التهديدات 
والثغرات الأمنية. والعنصر الأخير في النموذج الأساسي لأمن المعلومات هو pais‏ الضوابط. 
وي هذا الفصل سنلقي نظرة على الضوابط الأكثر أهمية والأكثر شهرة. 


في نهاية هذا الفصل يجب أن تعرف ما يلي: 

٠‏ إدارة كلمات اطرور. 

lohas لخدو القازية‎ e 

٠‏ أنظمة كشف/ منع التسلل. 

٠‏ تصحيحات نظم التشغيل والتطبيقات من الأخطاء. 

٠‏ حماية dam‏ النهاية. 

٠‏ أفضل ممارسات ضوابط أمن ال معلومات. 

وليس الغرض من القائمة eMe]‏ أن تكون شاملةء بل هي قائمة للضوابط الأساسية التي 
اختارها مؤلفو هذا الكتاب. ومثال بسيط لأحد الضوابط الذي م S35‏ أعلاه هو برنامج 
مكافحة الفيروسات. وعلاوة على ذلك فبمجرد دخولك في مهنة أمن المعلومات فإنك 
ستواخة الغديد .من ضوائط أمن اللغلؤمات «متضمنا ذلك Ja ala]‏ الخاضة بالتطبيقات: 


أمن المعلومات وإدارة مخاطر تقنية المعلومات ev‏ 


الفصل التاسع 


والهدف من الضوابط أعلاهء والهدف EUIS‏ من هذا الفصل عرض الضوابط ال معروفة بحيث 
يكون لديك فهم للأفكار الأساسية لضوابط أمن المعلومات. ومعظم هذه الأفكار قابلة 
للتعميم لذلك فإنها ستساعدك بشكل عملي على تقييم مزايا الضوابط التي تواجهها في 


إدارة كلمات المرور: 


عرّفنا كلمات المرور lib‏ سلسلة سرية من الرموز التي لا يعرفها سوى صاحب الهوية 
والذي يستخدمها لمصادقة الهوية. وكلمات المرور وسيلة أمنية مصممة لتكون سهلة 
الاستخدام للمستخدم العادي وأيضا آمنة لمعظم التطبيقات. وتُستخدم كلمات المرور 
لحماية البيانات والأنظمة والشبكات. ويتم عادة الجمع بين اسم المستخدم وكلمة المرور 
حيث يعمل اسم المستخدم على تحديد Agy‏ وتحديد الهوية هو عرض هوية المستخدم 
على النظام. أما المصادقة فهي تؤسس للثقة في صحة الهوية المدعاة". فالاستخدام الناجح 
لاسم المستخدم وكلمة المرور المرتبطة به يوفر للمستخدم الوصول إلى الموارد المقيدة مثل 
البريد الإلكترونيء وا مواقع الإلكترونية» وا معلومات الحساسة وفقاً للأذونات المرتبطة بالهوية. 

ولكلمات المرور عدة أسماء مختلفة تبعاً للسياق الذي ترد فيه. فرقم التعريف الشخصي 
(PIN)‏ هو كلمة مرور عددية قصيرة تتكون من > إلى 1 أرقام. وتستخدم أرقام التعريف 
الشخصية عندما تكون لوحة ال مفاتيح الصغيرة ضرورية (مثل أجهزة الصرف الآلي)» أو 
عندما تؤدي كلمات المرور العادية إلى مشكلات محتمّلة في سلامة الأفراد (مثل نظام إخماد 
الحرائق في المطارات). ولأن أرقام التعريف الشخصية قصيرة فإنه يمكن تخمينها بسهولة 
ومن ثم فإن الأمن الذي توفره يكون محدوداً. وبشكل عام فإن استخدام أرقام التعريف 
الشخصية مبني على فرضية استخدام آليات أمنية أخرى مثل حد السحب اليومي وكاميرا 
ا مراقبة في أجهزة الصرف الآلي» ووسائل الأمن في المطارات. 

وشكل آخر من أشكال كلمات المرور هو عبارة .(passphrase) js, Ll‏ وعبارة 
ارو ر هي dl Ls‏ فسن الكلتمات التي عقيل ALIS‏ الس مفلا B) asd]‏ التاليةة 


V)‏ عرّفنا سابقاً المصادقة بأنها «العملية التي يقوم فيها المستخدم بإثبات أنه مالك الهوية التي يستخدمها». 


EM‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 





الضوابط الأمنية باستخدام المكونات المادية والبرمجيات 


Lë (Wowtl!thisis£IclasatschooL)‏ عبارة مرور. والدافع وراء استخدام عبارات اممرور 
هو أنه على الرغم من أن المخ البشري يستطيع الاحتفاظ فقط بسبعة أجزاء من المعلومات 
في الذاكرة القصيرة الأجل فإن كل جزء من أجزاء المعلومات هكن أن يكون كبيرا إلى حد 
Ls‏ ومن ثم فإن عبارات ا مرور يمكن أن تكون أطول من كلمات المرور لكنها أسهل في 
التذكر من التسلسل العشوائي للرموز. لكن من المهم أن نتذكر أن عبارات المرور البسيطة 
مثل (thisisthe£1classatschool)‏ مكن تخمينها بسهولة من قبل اطهاجمين مقارنة 
کات الوقن مقل C‏ ان وليدن اضر رة أن تكون قيازة الرور الطويلة Ef 35 T‏ 
من كلمة المرور أو عبارة المرور القصيرة. 


وه Coll ica]‏ المرور LS‏ على عدم قدرة المهاجمين على تخمين كلمات المرور. 
وناقشنا سابقاً مجموعتين من المبادئ التوجيهية لكلمات المرور. المجموعة الأولى من 
المبادئ التوجيهية ترتبط بتعقيد كلمات المرورء Ul‏ المجموعة الثانية فترتبط بتنوع كلمات 
ا مرور بحيث أن كلمة ا مرور ا لمسروقة من مورد ما لا هكن استخدامها في مورد آخر. 


والنقاش أعلاه يوضح وجهة نظر المستخدم النهائي بخصوص كلمات المرور: كلمة المرور 
تسمح لك بالوصول إلى نظام آمن. لكن ولكونك مسؤولا عن النظام وأخصائي أمن معلومات 
يتطلب منك أن تجعل النظام يعمل» وخاصة أنك مسؤول عن ضمان أمن كلمات ال مرور 
التي تقع تحت عنايتك» ويتم إنجاز ذلك من خلال إدارة كلمات المرور. وإدارة كلمات 
المرور عبارة عن عملية تحديد سياسات كلمات المرور وتنفيذها والحفاظ عليها في جميع 
أنحاء المنظمة"". وإدارة كلمات المرور الفعالة تقلل من احتمالية اختراق الأنظمة التي 
تستخدم كلمات المرور. 


إدارة كلمات المرور تعيد تقديم الأبعاد الثلاثة لأمن المعلومات: التكامل (Integrity)‏ 
والخصوصية (Confidentiality)‏ والجاهزية (Availability)‏ وذلك OY‏ المنظمات بحاجة 


(2) Miller, G.A. «Ihe magical number seven, plus or minus two: some limits on our capacity for 
processing information,» The Psychological Review, 1956, 63: 81-97, http://www.musanim.com/ 
miller1956/ (accessed 11/1/2012) 

(3) NIST Special publication 800-118 (draft), Guide to enterprise password management, http://csrc. 
nist.gov/publications/drafts/800-118/draft-sp800-118.pdf (accessed 11/1/2012) 
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الفصل التاسع 


لحماية تكامل كلمات ا مرور وخصوصيتها وجاهزيتها. وباستخدام مصطلحات إدارة الأصول 
التي وردت في الفصل الخامس من هذا الكتاب» يمكن النظر إلى كلمات المرور بأنها أصول 
معلوماتية مقيدة وضرورية. فكلمات ا مرور أصول مقيدة لأن فقدان الخصوصية أو التكامل 
يسمح للمهاجمين بالوصول غير المناسب للمعلومات. كما أن كلمات المرور أصول ضرورية 
لأن عدم جاهزيتها يجعل من الوارد الأساسية المحمية غير متوفرة. 


National Institute for) مسؤوليات ال معهد الوطني للمعايير والتكنولوجيا‎ lix 
فقد أصدر مبادئ توجيهية للحد الأدنى من التوصيات‎ (Standards and Technology 
الخاصة بإدارة كلمات المرور. وسنستخدم هذه المبادئ التوجيهية أساساً للمعلومات في‎ 
صرامة فبإمكانها أن تفرض‎ S] هذا القسم. أما المنظمات التي تحتاج إلى متطلبات أمنية‎ 
354 عن كلمات‎ lix إضافية نضا ذلك المطالبة امات أخرف للمعاوقة‎ cool cl 

وتبدأ إدارة كلمات المرور بمعرفة الطرق التي يمكن من خلالها اختراق كلمات ا مرور 
واتخاذ إجراءات تقلل من احتمالية وقوع تلك الاختراقات. وقام المعهد الوطني للمعايير 
والتكنولوجيا بتحديد أربعة تهديدات لكلمات المرور: التقاط كلمة ا مرورء وتخمين كلمات 
المرور وكسرهاء واستبدال كلمات المرورء واستخدام كلمات المرور ا مخترقة. 


التقاط كلمة ال مرور هو قدرة أحد المهاجمين على الحصول على كلمة المرور من مكان 
حفظهاء أو أثناء إرسالهاء أو من معرفة المستخدم وسلوكه. فإذا تم حفظ كلمة المرور بشكل 
غير صحيح في الذاكرة عن طريق أحد التطبيقات» أو على القرص الصلب من قبل نظام 
التشغيل» فإن المستخدم الذي هلك بيانات اعتماد مناسبة قد يتمكن من سرقة كلمة ال مرور. 
وبا مثل فإذا لم يتم تشفير كلمة المرور أثناء إرسالهاء فإنه يمكن الاستيلاء عليها من قبل أي 
شخص على الشبكة. كما يمكن استغلال معرفة المستخدم وسلوكه من خلال هجمات 
الهندسة الاجتماعية. 


ez ll كلمة المرور تهديدا آخر. ففي أثناء تخمين كلمة المرور يقوم‎ * MER 
محاولات متكررة للمصادقة باستخدام كلمات امرور المحتملة مثل كلمات ال مرور الافتراضية‎ 


£v.‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


الضوابط الأمنية باستخدام المكونات المادية والبرمجيات 


وكلمات القاموس. ويمكن أن يتم تخمين كلمات ال مرور بواسطة أي مهاجم لديه إمكانية 
الوصول إلى واجهة تسجيل الدخول للنظام ال مستهدف. أما كسر كلمات ال مرور فهو عملية 
توليد سلسلة من الرموز التي تطابق أي سلسلة من سلاسل كلمات المرور الموجودة على 
النظام المستهدف. ويمكن أن يتم كسر كلمات المرور من خلال المهاجم الذي يتمكن من 
الوصول إلى الإصدار المشفر لكلمات المرور المحفوظة. وهذه الإصدارات المشفرة لكلمات 
المرور تسمى دوال التجزئة (hashes)‏ وسوف نناقشها في الفصل المتعلق بالتشفير. 

أما استبدال كلمة المرور هو استبدال كلمة ا مرور الحالية للمستخدم بكلمة مرور أخرى 
لا يعرفها إلا المهاجم. وهذا يحدث عادة من خلال استغلال نقاط الضعف في سياسات النظام 
الخاصة بإعادة تعيين كلمات المرور وذلك باستخدام مختلف تقنيات الهندسة الاجتماعية. 


وكلمات المرور المخترقة هي كلمات مرور موجودة على النظام ويعرفها مستخدمون غير 
مصرح لهم. وبمجرد أن تعرف إحدى كلمات المرور فإنه يمكن استغلالها في شن هجمات 
الهندسة الاجتماعية وذلك لتغيير أذونات الملفات الحساسة. وإذا كانت كلمة المرور 
المخترقة لمستخدم بامتيازات dle‏ مثلاً مسؤول النظام» فإن ا مهاجم قد يكون قادراً على 
تغيير التطبيقات والأنظمة لاستغلالها في وقت لاحق. على سبيل «JEU‏ قد يكون المهاجم 
قادرا على إنشاء حساب بامتيازات عالية لنفسه. 

وتهتم الإدارة الفعالة لكلمات ال مرور بهذه التهديدات. وتتمثل توصيات ال معهد الوطني 
للمعايير والتكنولوجيا الخاصة بتدابير إدارة كلمات المرور في صياغة سياسات لكلمات JIA‏ 


ومنع التقاط كلمة ال مرورء ومحاولة التقليل من تخمين أو كسر كلمات ال مرورء وتطبيق انتهاء 
صلاحية كلمات المرور كلما تطلب ذلك. 


توضح تهديدات كلمات المرور الطبيعة المتكررة لتهديدات أمن المعلومات. وقد ناقشنا فيما سبق 
تهديدات الأصول. وفي هذا الفصل US‏ نحاول تطوير الإجراءات الوقائية ضد التهديدات اممشتركة. 


لكننا وجدنا أن تلك الإجراءات الوقائية نفسها يمكن اختراقها. على سبيل المثالء كلمات ال مرور 
هي إجراء 385« لكن كلمات اطرور يمكن اختراقها. ومن ثم يجب اتخاذ تدابير محددة للحفاظ 
على أمن الإجراءات الوقائية. 
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الفصل التاسع 


توصيات إدارة كلمات المرور: 

سياسات كلمات المرور هي مجموعة من القواعد ذات العلاقة باستخدام كلمات ال مرور. 
فبالنسبة للمستخدمين تحدد تلك السياسات نوع كلمات المرور المسموح بها. على سبيل 
التقبالة طول OUS‏ الور دى ةه يتدوع oda Cod‏ الفنة ونال اون 
الأنظمة فإن سياسات كلمات المرور تحدد كيف يتم حفظ كلمات المرورء وكيف يتم 
إرسالهاء وكيف يتم إصدارها للمستخدمين الجددء وكيف يتم Bale]‏ تعيينها إن لزم الأمر. 
ويجب أن تأخذ (سياسات كلمات المرور) في الاعتبار الأنظمة واللوائح الخاصة بالصناعة 
التي تعمل فيها المنظمة. 

إن الانتباه إلى كيفية قيام كل تقنية في ا منظمة بحفظ كلمات المرور من ضروريات 
تقليل تخمين كلمات المرور وكسرها. فالوصول إلى الملفات وقواعد البيانات المستخدمة 
لحفظ كلمات المرور يجب أن يكون مقيداً بإحكام. Sac bool Bios Vos‏ 
المستحسن حفظ دالة تجزئة كلمات المرور LS)‏ وضحنا ذلك بالتفصيل في الفصل السابع). 
ويجب أن تكون عملية تبادل كلمات المرور مشفرة حتى يستحيل قراءتها أثناء الإرسال. 
كما يجب التحقق بدقة من هوية جميع اللمستخدمين الذين يحاولون استعادة كلمات 
doces) 38‏ أن dole]‏ فن كات Las. jt‏ يجب أن يكون كل مستخدم واعياً 
محاولات سرقة كلمات ال مرور من خلال هجمات الانتحالء أو من خلال استراق النظر من 
خلف اممستخدم» أو غيرها من الطرق. 

وممنع تخمين وكسر كلمات ا مرورء يجب أن تكون كلمات ا مرور معقدة ها فيه LAII‏ 
كما يتوجب غلق الحسابات التي تواجه العديد من محاولات تسجيل الدخول الفاشلة 
وا متعاقبة. وهذا يقلل من فرصة القراصنة في تخمين كلمات المرور. كما أن وضع قيود 
صارمة على الوصول ملفات كلمات المرور وقواعد البيانات التابعة لها يقلل من فرص كسر 
كلمات المرور. 

ويحدد (انتهاء صلاحية كلمة المرور) المدة التي يمكن خلالها استخدام كلمة المرور 
قبل أن يكون مطلوباً من المستخدم أن يقوم بتغييرها حيث يقلل (انتهاء صلاحية كلمة 
Gs Ll‏ من احتمالية استخدام كلمة ا مرور المخترقة بشكل مثمر. وعادة يتم جمع كلمات 


evy‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


الضوابط الأمنية باستخدام المكونات المادية والبرمجيات 


المرور من خلال إجراءات آليةء مما يسمح بوجود فاصل زمني بين جمع كلمات المرور 
وبين قيام المهاجم باستخدام كلمة js LE‏ المخترقة. فإذا تم تغيير كلمة ا مرور قبل محاولة 
المهاجم استخدامهاء فإن كلمة المرور المخترقة لن تكون ضارة جداً. لكن (انتهاء صلاحية 
كلم Cos‏ له عق IST Lage S 2f.‏ كانت cala a lac‏ ات ور ا 
لأنظمتها ا مختلفة. فالمستخدم ينسى كلمة المرور ومن ثم نحتاج إلى وحدة الدعم الفنيء 
ذات التكلفة العالية» لاستعادة كلمة المرور المنسية. وبشكل عام يجب استخدام (انتهاء 
صلاحية كلمة المرور) بتعقل من خلال تطبيق فترات زمنية أطول للأنظمة التي تحتاج إلى 
قليل من الأمان. 


قيود كلمات المرور: 

بينما تكون كلمات المرور موجودة في كل مكان في مجال أمن ال معلومات فإنها تحتوي على 
8l‏ من Sa cl‏ الهامة فاه هن سوق غالبا nda OLE‏ وتطلت lab‏ وة 
دعم فني ذات تكلفة عالية للاستجابة لطلبات المستخدمينء أو آلية لإعادة تعيين كلمات 
ا مرور. لكن آليات إعادة تعيين كلمات المرور تحتوي على بعض الثغرات لأن أسئلة استعادة 
كلمة اللمرور قد لا تكون قوية Le‏ فيه الكفاية. وفي كثير من الأحيان يحفظ المستخدمون 
كلمات المرور في أماكن يستطيع الآخرون رؤيتها. وأخيراً هكن لهجمات الهندسة الاجتماعية 
البسيطة نسبياً مثل الانتحال» أن تكون ناجحة بشكل ملحوظ في سرقة كلمات المرور©. 

وللأسباب المذكورة أعلاه يتضح أن هناك اهتماما كبيراً في تطوير بدائل لكلمات المرور 
بهدف المصادقة. لكن الوصول إلى بديل لكلمات المرور ليس بالأمر السهل. فالمستخدمون 
يعلمون كيفية استخدام كلمات المرور والمديرون لا يطلبون من الموظفين تغيير أساليب 
العمل إلا للشؤفرة oo tl‏ “نما etae Las V‏ :ذلك مهد Ba oss‏ اة ا 
الفعلية التي تعاني منها المنظمات بسبب سرقة كلمات ال مرور. 


(4) Herley, C. van Oorschot, P.C. and Patrick, A.S. «Passwords: if were so smart, why are we still using them?» Lecture Notes 


in Computer Science 5628, 2009, Springer-Verlag 
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الفصل التاسع 


مستقبل كلمات المرور: 

وقد تم اقتراح العديد من آليات المصادقة لاستبدال كلمات المرور. وأحد هذه الآليات 
آلية (Passfaces)‏ والتي يقوم فيها ا مستخدم بالاختيار ا مسبق لمجموعة من الوجوه A iul‏ 
وأثناء محاولة تسجيل الدخول يقوم المستخدم باختيار أحد الوجوه من تلك المجموعة. 
وآلية أخرى هي آلية «رسم السر» (draw-a-secret)‏ والتي يقوم فيها ا مستخدم برسم خط 
متواصل عبر شبكة من ال مربعات. وبينما يكون من المرجح الاستمرار في استخدام كلمات 
المرور لفترة من الوقتء فإنه لن يكون من ا مستغرب أن تصبح هذه الآليات أو آليات 
مماثلة أكثر شعبية في السنوات المقبلة. 


تعد كلمات المرور والاهتمام العام بإدارة الهوية مجالاً هاماً في الواقع العملي لأمن ا معلومات» لذا 


خصصنا فصلا كاملا عن إدارة الهوية وإدارة الوصول في هذا الكتاب. 





التحكم في الوصول (Access Control)‏ : 

عرّفنا سابقاً التحكم في الوصول «ib‏ تقييد الوصول إلى موارد نظم المعلومات للمصرح 
لهم فقط من المستخدمين والبرامج والعمليات والنظم. ونحن نتعامل يومياً مع أنظمة 
التحكم في الوصول. الأقفال» على سبيل اممثال» أحد أشكال التحكم في الوصول. d»‏ أمن 
أجهزة الحاسب الآلي يتمثل التحكم في الوصول من خلال استخدام نماذج التحكم في الوصول. 
ونماذج التحكم في الوصول توضح مدى توافر الموارد في النظام. والنماذج المفيدة في التحكم 
في الوصول تكون قادرة على تمثيل الحماية المطلوبة للمعلومات وا موارد من أي نوع وعلى 
مستويات متفاوتة من التفاصيل. وفي الوقت نفسه OB‏ تنفيذ النماذج ينبغي ألا يضع حملا 
مفرطاً على القدرات الحاسوبية لنظام التشغيل. وهناك طريقتان شائعتان لتطبيق نماذج 
التحكم في الوصول وهما: قوائم التحكم في الوصول (access control lists)‏ والتحكم في 
الوصول المعتمد على الدور .(role-based access control)‏ 


(5) Tolone, W. Gail-Joon Ahn and Tanusree Pai, «Access control in collaborative systems» ACM 


Computing Surveys, 37(1): 29-41 
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الضوابط الأمنية باستخدام المكونات المادية والبرمجيات 


قو ائم التحكم في الوصول :(Access Control Lists) (ACLs)‏ 

قانئمة التحكم في الوصول هي قائمة من الأذونات تتبع مكونات محددة. وتستخدم 

ائم التحكم في الوصول TE‏ بسيطة لتحديد الأشخاص (subjects)‏ والمكونات (objects)‏ 
RA‏ على سبيل JUL‏ إذا كانت قائمة التحكم في الوصول لاتصال بالشبكة 
تنص على )131.247.93.68, (ANY, block‏ فإنه يجب منع المضيف (WV, Y£V,A, M)‏ 
من المرور عبر الاتصال بالشبكة أو الوصول إلى أي مورد على الشبكة. ويقوم نظام التشغيل 
بالتحقق من طلبات اموارد الواردة بهدف معرفة مدخلات قائمة التحكم في الوصول التي 
قد تمنع الوصول إلى الموارد. 

وتستخدم قوائم التحكم في الوصول عادة للدفاع عن نوعين من ال موارد: الملفات 
واتصالات الشبكات. وتقوم (قوائ ئم التحكم في الوصول لحماية ال ملفات) بتحديد حقوق 
المستخدمين سواء كانوا أفراداً el‏ جماعات» وذلك للوصول إلى الملفات والملفات التنفيذية. 
واستخدام أمر (chmod)‏ في الفصل الثالث هو أحد أمثلة (قوائم التحكم في الوصول لحماية 
ا لملفات). وتقوم (قوائم التحكم في الوصول لحماية اتصالات الشبكات) بتحديد القواعد 
لمعرفة أرقام اممنافذ والعناوين الشبكية التي يمكن الوصول إليها. وتعد (قوائم التحكم في 
الوصول إلى حماية اتصالات الشبكات) أحد الطرق الشائعة في تطبيق AZII‏ النارية (والتي 
سنناقشها لاحقاً في هذا الفصل). ومعظم أنظمة التشغيل الحديثة pes àb‏ تحكم وصول 
افتراضية والتي توفر مستويات معقولة من الأمن للمستخدم العادي. ود قوائم التحكم 
في الوصول من أبسط الضوابط في التطبيق» كما تعتمد فاعلية العديد من الضوابط الأمنية 
الأخرى على قوائم التحكم في الوصول. على سبيل JELI‏ تساعد قوائم التحكم في الوصول 
إلى المحافظة على تكامل وجاهزية كلمات المرور عن طريق منع المهاجمين من الكتابة فوق 
كلمات 39351 


وتبدأ قوائم التحكم في الوصول من الفرق الأساسي بين الأشخاص والمكونات. فالأشخاص 
يحاولون تنفيذ العمليات على المكونات» ويتم السماح بتنفيذ العمليات إذا كان ذلك 
مسموحاً من قبل قوائم التحكم في الوصول. ويمكن تمثيل قوائم التحكم في الوصول 
باعتبارها (مصفوفة وصول) تقوم بتحديد الأذونات لكل شخص وعلى كل مكون. ويوضح 


أمن المعلومات وإدارة مخاطر تقنية ال معلومات evo‏ 


الفصل التاسع 


الشكل )3-4( مثالا على ذلك. وتوضح كل خلية في الصورة أذونات الوصول للشخص المقابل 
وا مستخدم للمكون المقابل. 

الشخص جون (John)‏ هو مالك الملف رقم .)١(‏ كما أن لديه أذونات قراءة وكتابة على 
ا ملف. ولأن جون (John)‏ مالك الملف ممكنه تعيين أذونات على الملف لأي شخص. ds‏ 
هذه الحالة تم إعطاء الشخص بوب (Bob)‏ إذن قراءة «ALLE‏ كما تم إعطاء الشخص أليس 
(Alice)‏ إذن التنفيذ على الملف. وهكذا فإن كل خلية تمثل قائمة تحكم في الوصول لكل 
مستخدم للمكون LALI‏ 


الشكل :(Y-3)‏ مثال على مصفوفة وصول 

















القيود: 

تعد قوائم التحكم في الوصول آلية بسيطة جداً لكنها فعالة لمراقبة الوصول. ومع ذلك 
فهي لا تخلو من بعض القيود الهامة. فإذا كان يجب تعديل الأذونات المستخدم معينء 
فإنه يجب تعديل الأذونات على جميع المكونات التي يتمكن هذا المستخدم من الوصول 
إليها. وأيضا فإنه ليس من الممكن تعيين أذونات على أساس مسؤوليات المستخدم. فإذا 
تم تغيير دور الممستخدم فإن منح أذونات الوصول المناسبة للدور الجديد لهذا ا مستخدم 
يتطلب تعديل الأذونات لكل مستخدم على حدةء وذلك على جميع المكونات ذات العلاقة. 


£a‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 

















الضوابط الأمنية باستخدام المكونات المادية والبرمجيات 


التحكم في الوصول المعتمد على الدور :(Role-Based Access Control) (RBAC)‏ 


لقد رأينا أن (التحكم في الوصول ا معتمد على الدور) يعين الأذونات للمستخدمين بناءً 
على الدور Jas‏ من تعيينها slo‏ على المستخدم الفردي حيث يتم إنشاء الأدوار مهام العملء 
ويتم تعيين الأدوار للمستخدمين slo‏ على مسؤولياتهم. ومن خلال تحديد أذونات الوصول 
للاأدوار هناك فرق بين ضوابط اطممستخدم» وضوابط الوصول. فا مستخدمون يتطورون 
نوها في المنظمة, أدوارهم يمكن تعبينهاء وأذونات الوصول يتم تحديثها Lb‏ لذا عند 
مقارنة (التحكم في الوصول OT‏ على الدور) ب (قوائم التحكم في الوصول) فإن الأول 
يقلل من التكاليف ومن الجهد الإداري المطلوب لتنفيذ التحكم في الوصول في المنظمات 
الكبيرة. 


الجُذر النارية": 

AI‏ النارية هي شكل من أشكال الحماية التي تسمح لشبكة ما بالاتصال بشبكة 
أخرى مع الحفاظ على مستوى معين من الحماية. وأحد أكثر الأمثلة اللألوفة لجُذر الحماية 
هو باب المنزل أو المكتب. فالباب يسمح للسكان بالخروج من ا منزل لكنه gig‏ المطر 
والصقيع من الدخول للمنزل. كما يساعد الباب أيضاً في الحفاظ على قدر من خصوصية 
السكان. 

الجْذر النارية للشبكات هي مكونات مادية أو برمجية تمنع الأخطار التي تنشأ في شبكة 
ما من الانتشار إلى شبكة أخرى. s‏ الواقع العملي فإن iI‏ النارية للشبكات تقوم 
بأغراض متعددة Le‏ في ذلك (Y)‏ تقييد الدخول والخروج من الشبكة, وذلك ممواقع محددة 
ةو( aal‏ من حركة المروز ge‏ الإنارنت وذلكا لتطبيق من يعمل عانق أجهزة 
معينة. (Y)o‏ منع حركة المرور الصادرة من cit‏ الذي يشتبه باختراقه. فصوا فإن 
الجُدر النارية ليست مُعدة للدفاع عن هجمات مخصصة. فأبواب متاجر بيع التجزئة. على 
سبيل «JULI‏ ليست مصممة للكشف عن المتسوق الذي يحمل متفجرات» أو عن المتسوق 
(5) المصدر YUI‏ مصدر ممتاز عن الجدر النارية للإنترنت, Building Internet firewalls» by Elizabeth D.»‏ 


896) 8-871-56592-1-Zwicky, Simon Cooper and D. Brent Chapman, O' Reilly Media, ISBN 8 
ككثير من معلومات هذا القسم تستند على هذا المصدر.‎ 65 


أمن المعلومات وإدارة مخاطر تقنية المعلومات evy‏ 





الفصل التاسع 


السارق. فتلك celat‏ إذا كانت ضرورية (في المطارات على سبيل المثال) 5 لضوابط أكثر 
تخصصا Jis‏ المفتش البشري أو تقنيات الحماية ضد السرقة. ومع ذلك فإن AI‏ النارية 
asi‏ خط الدقاع الأول الفعال وغو اللكلق lad‏ هة ade‏ كر عق اللضايقات الشاتعة. 

ويوضح الشكل (Y-3)‏ الترتيب الشائع لجدار حماية يقع بين الشبكة الداخلية للمنظمة 
والشبكات الخارجية مثل الإنترنت. ويتم توجيه حركة ال مرور بين الإنترنت وشبكة المنظمة 
الداخلية من خلال الجدار الناري حيث هكن تنفيذ قواعد مرور المنظمة. 


الشكل :(Y-3)‏ جدار ناري نمطي 





قرارات الجدر النارية: 

أمام الجدار الناري أحد الخيارين بخصوص الحزم التي تمر عبره -السماح أو الرفض. 
فالحزم الممسموح لها تواصل وجهتها ا مقصودةء بينما الحزم ا ممنوعة يتم حظرها في الجدار 
الناري. ونبدأ بالحالة الأساسية للجدار الناري: الرفض الافتراضي» أو السماح الافتراضي. 
فإذا كانت الحالة الأساسية للجدار الناري هي السماح الافتراضي فإنه سيسمح لجميع الحزم 
في الشبكة باستثناء تلك المحظورة صراحة. أما إذا كانت الحالة الأساسية للجدار الناري هي 
الرفض الافتراضي فإنه سيحظر جميع الحزم في الشبكة باستثناء تلك المسموح بها صراحة. 


EVA‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 





الضوابط الأمنية باستخدام المكونات المادية والبرمجيات 


الرفض الافتراضي أم السماح الافتراضي؟ 
توصية الأمان الموحدة هي استخدام حالة الرفض الافتراضي. وبهذه الطريقة فإن الخدمات 
المعروف أنها آمنة فقط ستكون قابلة للوصول للإنترنت. لكن المستخدم يفضل عادة حالة 


السماح الافتراضي لأنها تتيح للخدمات التجريبية وغيرها من خدمات الإنترنت أن تعمل. 
ويمكن لحالة السماح الافتراضي أن تكون مقبولة للإداريين والطلاب الذين يتعلمون كيفية تهيئة 
الجُدّر النارية. وأما بالنسبة لجميع الاستخدامات الأخرى فيُفترض اعتماد حالة الرفض الافتراضي. 





eus‏ تعزيز الحالة الأساسية AU‏ النارية من قبل المسؤول الذي يخصص قواعد لقوائم 
التحكم في الوصول (ACL)‏ وذلك لتحديد الحزم المسموح بها (على فرض أنه تم اعتماد 
حالة الرفض الافتراضي). وبعض القواعد الممثلة لهذه الحالة موضحة أدناه باستخدام برنامج 
«(ipfilter)‏ وهو برنامج جداري ناري شائع الاستخدام. 
pass in quick from 192.168.1.024/ to 192.168.10.50‏ 


pass out quick from 192.168.10.50 to 192.168.1.024/ 


pass in log quick from any to any port = 22 


pass out log quick from any port = 22 to any 
block in all 
block out all 





ويمكن تفسير هذه القواعد على النحو التالي: القاعدتان الأولى والثانية تسمحان بالوصول 
والمغادرة من عنوان بروتوكول الإنترنت «أو عنوان بروتوكل الإنترنت «(IP address)‏ 
VIA V0)‏ ,3( إلى أي عنوان بروتوكل الإنترنت في الشبكة الفرعية (۱,۰ر۱۹۲,۱۱۸/٤٠).‏ 
وهذا العنوان (YE/VIY, VTA, N)‏ هو وسيلة مدمجة لتمثيل جميع عناوين بروتوكل 
الإنترنت من OY, WS)‏ إلى (197,17/,1,900). ويمكن أن يكون هذا مفيداً إذا 3« 
على سبيل JULI‏ استخدام المضيف (VAY, VAS S507)‏ لتوفير خدمات مشتركة مثل مشاركة 
ا ملف أو مشاركة الطابعة» أو لتوفير بوابة إلكترونية للمشاركة (Sharepoint portal)‏ في 
المنظمة. أما المجموعة الثانية من القواعد فتتيح لجميع الاتصالات الواردة والصادرة خدمة 
«ssh»‏ (وهي خدمة تسجيل الدخول عن بعد لمضيف نظام ينكس). كما تحدد قواعد 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات eva‏ 


الفصل التاسع 


(SSH)‏ بأن جميع معاملات (ssh)‏ سيتم تسجيلها. وقد ترغب ال منظمة في فعل ذلك من 
أجل تتبع جميع أنشطة (SSH)‏ أما القاعدتان الأخيرتان فتحددان الحالة الافتراضية للجدار 
الناري» وهي حالة الرفض الافتراضي. 


هو 3 هو 
قيود الجدر النارية: 


نظراً لرواج استخدام الجُدر النارية» من المهم أن نعرف ما لا تستطيع الجدر النارية 
القيام به. وبعض القيود الهامة ya‏ النارية تشمل ما uda‏ 

الأعضاء الداخليون وحركة المرور غير المنظمة: الجدر النارية تحمي المنظمة من 
الهجمات التي db‏ من خارج الشبكة. فإذا تم اختراق جهاز حاسب آلي داخل المنظمة» فقد 
يتمكن المخترق من سرقة البيانات من أجهزة الحاسب SI‏ الأخرى داخل المنظمة دون 
ا مرور عبر الجدر النارية. وباممثل فإذا أحضر شخص ما جهاز التخزين المحمول (فلاش) els‏ 
بنسخ البيانات الحساسة على ذلك الجهازء فلا تستطيع الجدر النارية القيام بأي شيء gh‏ 
هذه السرقة لأن حركة مرور البيانات لا تمر من خلال الجدر النارية. 

حركة المرور ال مشفرة: لا يمكن فحص البيانات المشفرة ومن ثم فإن لدى الجدر النارية 
قدرة محدودة في الدفاع عن البيانات المشفرة. على سبيل JUL‏ إذا قام ا مستخدم بتصفح 
موقع آمن» فإن الجدار الناري لن يكون قادرا على فحص المعلومات المشفرة التي يتم 
تبادلها بين ا لمستخدم والموقع الإلكتروني. 

التهيئة: إن أمن الجدر النارية وسهولة استخدامها يعتمدان على تهيئتها من قبل 
مسؤول النظام. فالجُدر النارية المهيئة بشكل ضعيف تكون أكثر عرضة لحركة المرور الضارة 
ومن ثم الوصول إلى أهداف حساسة. وق الوقت ذاته يعد الأمن الذي تمنحه تلك JASI‏ 
النارية أمنا كاذبا. 


أنواع الجدر النارية: 
بشكل عام هناك نوعان من jJ JI‏ النارية: je‏ نارية لتصفية الخزم, isa‏ نارية 
للفحص العميق للحزم. وتقوم AN)‏ النارية لتصفية الحُزم) بفحص الحقول العلوية 


£A:‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


الضوابط الأمنية باستخدام المكونات المادية والبرمجيات 


لبروتوكول الحزم التي تتدفق من خلال الجدار الناري لتحديد ما إذا كان سيسمح للحزمة 
بالدخول إلى الشبكة. وقد تقوم AI)‏ النارية لتصفية الحُزم) بفحص الحقول مثل عناوين 
بروتوكول الإنترنت التابعة للمصدر وللوجهة: وعناوين منفذ dae JI‏ وإشارات بروتوكول 
التحكم بالنقل (TCP flags)‏ وأحد استخدامات هذا النوع من JI‏ النارية هو حظر 
الحزم الواردة من مضيف أو من مزود خدمة الإنترنت والذي لديه تاريخ في إرسال كميات 
كبيرة من رسائل البريد المزعجة. ويمكن تحديد المضيف أو مزود خدمة الإنترنت من خلال 
حقل عنوان بروتوكول الإنترنت التابع للمصدر. 

أما aed)‏ النارية للفحص العميق للحزم) فتقوم بفحص البيانات التي تحملها الحزمة, 
بالإضافة إلى فحص الحقول العلوية لبروتوكول الحزم» وذلك لاتخاذ قرار بشأن كيفية التعامل 
مع الحزمة. ويمكن مقارنة البيانات التي تحملها الحزمة بقاعدة البيانات التي تحتوي على 
الحمولات الخبيثة ال معروفة. ويمكن التعرف من خلال هذه المقارنة على محاولات إطلاق 
هجمات (تجاوز سعة المخزن المؤقت) أو الهجمات الأخرى التي تعتمد على الحمولات التي 
تمت صياغتها بعناية. 


الشكل ja2J] :(Y-3)‏ النارية المحيطة والمناطق منزوعة السلاح 


منطقة منزوعة السلاح 





أمن المعلومات وإدارة مخاطر تقنية المعلومات £A‏ 


الفصل التاسع 


X و‎ 

تنظيم الجدر النارية: 

الشكل (Y-3)‏ هو تمثيل مبسط لكيفية استخدام Sal‏ النارية. LÍ‏ الشكل (Y-3)‏ فهو 
يوضح التهيئة القياسية للجدار الناري. وهذا الشكل يحتوي على محيط الجدار الناري 
والمنطقة المنزوعة السلاح» والجدار الناري الداخلي, والمنطقة الممسلحة. 

محيط الجدار الناري هو جدار الحماية الذي يقع بين الشبكة الخارجية والمنظمة. 
ويسمح هذ المحيط للمُضيف خارج ال منظمة أن يصل إلى الخدمات الموجهة للعامة 
والخدمات المقدمة من قبل ال منظمة مثل شبكة الإنترنت» والبريد الإلكتروني, ونظام اسم 
ا مجال (DNS)‏ 

الشبكة المحيطة» والتي تسمى أيضا المنطقة المنزوعة السلاح» هي الشبكة التي تقع بين 
الشبكة الخارجية والشبكة الداخلية للمنظمة. وتقوم الشبكة المحيطة باستضافة الخدمات 
الخارجية مثل بروتوكول انتقال النص التشعبي (http)‏ وبروتوكول نقل البريد الإلكتروني 
(smtp)‏ ونظام اسم امجال (DNS)‏ 

الشبكة الداخليةء أو المنطقة المسلحة, هي موقع جميع الأصول المعلوماتية للمنظمة. 


إن الجدار الناري الداخلي يُقيد الوصول لشبكة المنظمة الداخلية. وبشكل عام فإن 
الوصول لشبكة ال منظمة الداخلية يقتصر على بعض التطبيقات المعينة Flo‏ على الطلبات 
eta ere d e‏ الشناكة LET E E EE E E‏ 
أن تحافظ على بوابة إلكترونية في المنطقة منزوعة السلاح. لكن الموارد مثل سجلات 
الطلاب تكون محفوظة في الشبكة الداخلية» ويمكن الوصول إلى هذه الموارد فقط باستخدام 
الطلبات التي Lio‏ من البوابة الإلكترونية. وإذا تم اختراق البوابةء فإن المعلومات الأخرى 
داخل الجامعة ليست معرضة للاختراق. 


£AY‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


الضوابط الأمنية باستخدام المكونات المادية والبرمجيات 


التوصيات الأساسية للجُدّر النارية 
إذا كنت مكلفا بوضع إعدادات جدار الحماية التابع لمنظمة صغيرة أو لإدارة da‏ تجد هنا بعض الإعدادات 
التي يمكنك البدء بها. وبشكل عام اسمح للمستخدمين بالوصول إلى الخدمات التالية على شبكة الإنترنت: 


الإنترنت (منفذ (EEY At‏ لمضيف محدد يشغل خوادم الإنترنت. 
البريد الإلكتروني (منفذ IAY OAO (£10 YO‏ 110) ممضيف محدد يشغل خوادم البريد الإلكتروني. 
نظام اسم المجال (منفذ (OF‏ ممضيف محدد يشغل خدمة نظام اسم المجال. 

التواصل عن بعد لأجهزة سطح المكتب (منفذ (YYAA‏ 

خدمة تسجيل الدخول عن بعد (SSH)‏ (منفذ (YY‏ ضيف معين بنظام ينكس. 


والقاعدة العامة هنا هي السماح للخدمات الآمنةء وهي الخدمات الشائعة الاستخدام والتي تقوم 
بتشفير المعاملات. ويعد شيوع استخدام الخدمة doge‏ وذلك لضمان أن البرمجيات ذات الصلة يتم 
تحديثها باستمرار عند الإبلاغ عن أي ثغرة أمنية. وأكثر تلك الخدمات شيوعاً هي خدمة تسجيل الدخول 
عن بعد (SSH)‏ (لنظام ينكس) وخدمة التواصل عن بعد لأجهزة سطح المكتب (لعملاء ويندوز). d»‏ 
أي مؤسسة تجارية تقليديةء gous‏ عادة لهذه الخدمات بالاتصال بأي مضيف سواء كان داخل الشبكة 


أم خارجها. 


وهناك مجموعة أخرى من الخدمات تسمى بالمجموعة الآمنة. وهذه الخدمات الشائعة يمكن استخدامها 
كما هو محدد, لكن لا يتم تشفير معاملاتها. ومن أمثلة هذه الخدمات البريد الإلكتروني وشبكة الإنترنت. 
ولهذه الأسباب من المستحسن أن يُسمح للمضيف فقط بالاتصال بخوادم الإنترنت أو خوادم البريد 
الإلكتروني على المضيف الذي يُدار من قبل مسؤول نظام مدرب وموثوق به. وهذا يضمن أنه حتى في 
حال كانت خوادم الإنترنت مُفعلة عن طريق الخطأ بواسطة مستخدم ما bg‏ يتم تحديثها بعد ذلك فإن 
الخطر الذي تشكله هذه الخوادم يكون محدودا. 


ومن الخدمات الشائعة الاستخدام في السابق لكنها فاقدة للثقة اليوم هي خدمة بروتوكول تلنت 
(Telnet)‏ وخدمة بروتوكول نقل الملفات (FTP)‏ وهذه الخدمات تم استبدالها بنظيرها الآمن وهي 
(خدمة تسجيل الدخول عن بعد-5555) لأن تلك البرمجيات لا تجري صيانتها مما ترك مجالاً لثغرات 
محتملة. وبشكل عام يجب حظر تلك الخدمات ما م يكن هناك سبب خاص لتفعيلها (مثلاً السماح 
colis‏ القدهة باستخدامها حتى تتمكن من العمل). 





أمن المعلومات وإدارة مخاطر تقنية المعلومات ولك 


الفصل التاسع 


والأشكال التالية توضح الجدار الناري لويندوز أثناء عمله. فالعمود الأيسر يوضح قيام 
الجدار الناري بحظر طلبات بروتوكول انتقال النص التشعبي (http)‏ لأن الموقع الإلكتروني 
الذي يعمل على ال مضيف لا يمكن الوصول إليه من العام الخارجي. والعمود الأمن يوضح 
المضيف نفسه لكن تم تهيئة الجدار الناري لويندوز بالسماح لطلبات بروتوكول انتقال 
النص التشعبي (http)‏ حيث كن الآن الوصول إلى ال موقع الإلكتروني من العام الخارجي 
(الشكل 6-9. والشكل 0-94( 
أنظمة كشف/منع التسلل: 

تتعرض أنظمة تقنية المعلومات لهجوم مستمر من مصادر مختلفة. على سبيل «JUL‏ 
أفادت الوكالات الفدرالية أن عدد الحوادث الأمنية التي جعلت المعلومات الحساسة على 
الأنظمة الفدرالية في خطر قد زادت من 0007 في عام ٠٠١5‏ إلى ٤۱۷۷١‏ في عام 27٠0٠١‏ أي 
بزيادة قدرها أكثر من )+210( خلال هذه الفترة". وللاستجابة الفعالة لهذه الحوادث 
فقد اهتم مسؤولي الأنظمة بالتكنولوجيا التي تستطيع اكتشاف محاولات التسلل في الوقت 
الفعلي وتقوم بتنبيه مسؤولي الأنظمة حتى يتمكنوا من الاستجابة بسرعة. وقد Dof‏ هذه 
الحاجة إلى تطوير أنظمة كشف التسلل. 

أنظمة كشف التسلل (Intrusion detection systems)‏ أو (IDS) bises‏ هى 


مكونات مادية أو تطبيقات برمجية تراقب أنظمة تقنية المعلومات لاكتشاف الأنشطة 
الضارة أو اكتشاف انتهاكات سياسات الاستخدام التي أنشئت من قبل مسؤول النظام. 
أما أنظمة منع التسلل فيتم بناؤها على أنظمة كشف التسلل بهدف إيقاف الاختراقات 
المحتملة. وقد أصبحت الآن أنظمة كشف التسلل وإلى حد ما أنظمة منع التسلل أيضاً 
جزءاً loca Y‏ من البنية التحتية لأمن تقنية المعلومات في معظم المنظمات. 

وبشكل عام هناك نوعان من أنظمة كشف التسلل: أنظمة معتمدة على الشبكة, 
وأنظمة معتمدة على المضيف. أنظمة كشف التسلل ال معتمدة على الشبكة تراقب حركة 
(7)INFORMATION SECURITY: Weaknesses Continue Amid New Federal Efforts to Implement‏ 
Requirements, United States Government Accountability Office, GAO Report to Congressional‏ 


Committees, GAO-12-137, October 2011, http://www.gao.gov/assets/590/585570.pdf (accessed 
11/23/2012) 
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مرور الشبكة ونشاط بروتوكول التطبيقات لتحديد الاتصالات المشبوهة. Bs‏ هذه الأنظمة 
عادة مع الموجهات والجدر النارية. أما أنظمة كشف التسلل المعتمدة على المضيف فهي 
تطبيقات برمجية مثبتة على ا مضيف الذي يراقب النشاط الداخلي مثل الوصول للملفات 
واستدعاء الأنظمة بهدف اكتشاف الأنشطة المشبوهة. ولزيادة احتمالية كشف محاولات 
التسللء تقوم معظم المنظمات بالاستفادة من العديد من أنظمة كشف التسللء ولكل منها 
مجموعة من القواعد المحددة وذلك مراقبة نشاط النظام من وجهة نظرها الخاصة. 

وأحد وظائف (أنظمة كشف التسلل) المثيرة للاهتمام هو إطلاق الإنذارات حول الهجمات 
الوشيكة. ويتم ذلك من خلال مشاهدة نشاط الاستطلاع: مسح المنافذ والمضيف لتحديد 
أهداف الهجمات اللاحقة. وهذا ال مسح غالبا ما يسبق الهجمات ذات النطاق الواسع» وإذا 
تم إخطار مسؤول النظام بعمليات مسح المنافذ, فإنه يستطيع اتخاذ الإجراءات اللازمة 
للاستعداد لأي هجمات قادمة. 


Karen Scarfone and Peter Mell, NIST Guide to Intrusion detection and prevention systems, (8) 
pdf.94-SP800/94-http://csrc.nist.gov/publications/nistpubs/800 —,94-special publication 0 
The National Institute of Standards and Technology (NIST) includes two .(2012/23/(accessed 11 
(وقد أضاف المعهد الوطني‎ (other categories of IDS - wireless and network behavior analysis (NBA 
للمعايير والتكنولوجيا نوعين آخرين لأنظمة كشف التسلل هي اللاسلكية وتحليل سلوك الشبكة. ولأهداف هذا‎ 
الفصلء فإن هذين النوعين يندرجان تحت أنظمة كشف التسلل المعتمدة على الشبكة. وهذا الدليل هو مصدر كثير‎ 

من معلومات هذا القسم حول أنظمة كشف/منع التسلل). 
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الشكل )6-4( الجدار الناري لويندوز وهو يحظر بروتوكول انتقال النص التشعبي (http)‏ 


2 Windows Firewall Settings 


Exceptions control how programs communicate through Windows Firewall, Add a 
program or port exception to allow communications through the firewall, 


Windows Firewall is currently using settings for the domain network location. 
w king a program 


To enable an exception, select its check box: 


r 
Program or port 
LJ Windows Collaboration Computer Nam... 
IZ] Windows Communication Foundation 
LJ windows Firewall Remote Management 
LJ Windows Management Instrumentatio.. . 
O windows Media Player 
LJ windows Media Player Network Sharin, . 
O windows Meeting Space 
C Windows Peer to Peer Collaboration F... 
LI windows Remote Management 
C Wireless Portable Devices 
C World wide Web Services (HTTP) 
E] xXming X Server 





Notify me when Windows Firewall blocks a new program 


[ Oops! Google Chrome cc: x 
€ Q fi |5u252406forestustedu بذع‎ YF (9 € + ga z 





Oops! Google Chrome could not connect Go gle 
to u252406.forest.usf.edu 

Suggestions: 

* Goto usf edu 


* Try reloading u252406 forest usf edu 
* Search on Google 


v252406 forest usf | Google Search | 


Google Chrome Help - Why am! seeing this page? 
©2012 Google - Google Home 
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الشكل )0-8(: الجدار الناري لويندوز وهو يسمح لبروتوكول انتقال النص التشعبي (http)‏ 


[General Exceptions | Advanced 


Exceptions control how programs communicate through Windows Firewall. Add a 
program or port exception to allow communications through the Firewall. 


3s for the domain network location. 


2 


To enable an exception, select its check box: 


Program or port 

LI windows Collaboration Computer Nam... 
M Windows Communication Foundation 

O Windows Firewall Remote Management 
C Windows Management Instrumentatio. ., 
C Windows Media Player 

C Windows Media Player Network Sharin... 
C Windows Meeting Space 

C Windows Peer to Peer Collaboration F... 
C Windows Remote Management 

C Wireless Portable Devices 

[V] World Wide Web Services (HTTP) 
Iv]xming X Server 


5 5 5 2 2 2 5 ع 2 2 5 5 


j 


T 








E 


[7] Notify me when Windows Firewall blocks a new program 
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طرق الاكتشاف: 
تعتمد أنظمة كشف التسلل المعاصرة على ثلاث طرق: التوقيعات, والانحرافات» وحالات 


البروتوكول. وتستخدم معظم التطبيقات التجارية مزيجاً من الطرق الثلاثة لتحقيق أقصى 
قدر من الفعالية. 
أنظمة كشف التسلل المعتمدة على التوقيعات: 

التوقيع هو سلسلة من البايتات المعروف عنها أنها جزء من البرمجيات الضارة. وتقوم 
(أنظمة كشف التسلل المعتمدة على التوقيعات) مقارنة الأحداث المرصودة بقاعدة بيانات 
التوقيعات وذلك لتحديد الحوادث المحتملة. ومن أمثلة التوقيعات الرسائل الإلكترونية 
التي عنوانها (ILOVEYOU)‏ وتحتوي على ملف مرفق باسم LOVE-LETTER-FOR-)‏ 
(YOU.txt.vbs‏ وهذه الرسائل الإلكترونية تتوافق مع فيروس (ILOVEYOU)‏ ال معروف 
والذي أصدر في الفلبين في تاريخ 0-0- Yt‏ 

ass‏ (أنظمة JL a] Cà AS‏ اة de e‏ التوقيعات) قعالة dub Ia ee‏ التهد يداك 
البسيطة وا معروفة. وحسابياً فإن هذه الأنظمة فعالة جداً لأنها تستخدم عمليات 
مقارنة السلامل البسيطة. لكن هذه الأنظمة غير مفيدة في الكشف عن التهديدات غير 
ازوف اغا أو التهديدات المتنكرة أو التهديدات المعقدة. على سبيل JEBI‏ إن فيروس 
(ILOVEYOU)‏ يكون فعالاً بالقدر نفسه عند تغيير عنوان رسالة البريد الإلكتروني إلى 
(job offer for you)‏ وتغيير اسم ال ملف المرفق إلى .(interview-script.vbs)‏ لکن هذا 
cac ES‏ تجعل iac ad ca Co‏ للغابة ao) acd‏ كقف dissi‏ 
Bass]‏ على التوقيعات): 

والعيب الآخر في (أنظمة كشف التسلل المعتمدة على التوقيعات) هو أن مطابقة 
التوقيع يقتصر فقط على الوحدة الحالية من النشاطء مثلاً حزمة واردة أو إدخال سجل 
فردي. وهذه الأنظمة لا تفهم عمليات بروتوكولات الشبكة. ونتيجة لذلك لا يمكن ل 
(أنظمة كشف التسلل المعتمدة على التوقيعات) اكتشاف عمليات مسح المنافذ لأن كل 
حزمة فردية يتم فحصها تمثل حزمة مشروعة ويتم تشكليها بشكل جيد. ويتطلب كشف 
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التهديد لعمليات مسح منافذ تجميع المعلومات عن الحزمة الحاليةء ومعلومات عن الحزم 
التي تم استقبالها في الماضي ولا تستطيع مطابقة التوقيعات للحزمة الحالية لوحدها القيام 
بهذا الأمر. وبشكل عام فإن (أنظمة كشف التسلل الممعتمدة على التوقيعات) Y‏ تستطيع 
كشف الهجمات التي تتألف من أحداث متعددةء وذلك إذا كان أي من الأحداث الفردية 
لا يتطابق بشكل واضح مع توقيع هجوم معروف. 
أنظمة كشف التسلل المعتمدة على الانحرافات: 

(أنظمة كشف التسلل المعتمدة على الانحرافات) هي عبارة عن عملية الكشف 
عن الانحرافات بين الأحداث الملاحظة وأنماط النشاط المحدد. ويحدد مسؤول النظام 
أوضاع السلوك الطبيعي الذي يعتمد على المستخدمينء أو ا لمضيفء أو اتصال الشبكة, أو 
التطبيقات. على سبيل JUL‏ قد يحدد وضع السلوك الطبيعي لجهاز حاسب آلي مكتبي 
أن تصفح الإنترنت يتضمن )* (XY‏ في المتوسط من استخدام الشبكة خلال ساعات العمل 
العادية. وبعد ذلك تقوم (أنظمة كشف التسلل المعتمدة على الانحرافات) بمقارنة النشاط 
الحالي ورفع الإنذار عندما يشتمل نشاط شبكة الإنترنت على نطاق ترددي أكبر مما هو 
متوقع. وتشمل الصفات الأخرى التي يمكن من خلالها إنشاء أوضاع السلوك الطبيعي 
على عدد رسائل البريد الإلكتروني المرسلة من قبل اطمستخدم» ومستوى استخدام المعالج 
للمضيف في فترة معينة من الزمن. 

ass‏ (أنظمة كشف التسلل المعتمدة على الانحرافات) أنظمة فعالة جداً في الكشف 
عن التهديدات التي لم تكن معروفة سابقا. على سبيل JG‏ في حالة إصابة جهاز الحاسب 
الآلي بنوع جديد من البرمجيات الخبيثة التي ترسل كميات كبيرة من البريد الإلكتروني غير 
المرغوب فيهاء أو تستخدم موارد معالجة الحاسب الآلي لكسر كلمات o5,‏ فإن سلوك 
الحاسب الآلي سيكون مختلفا بشكل كبير عن أوضاع السلوك الطبيعي التي أنشئت لهذا 
led!‏ عند ها كو (أنظمة JL all cà ES‏ اة على الانعراقات):قادرة عا 
الكشف عن هذه الانحرافات وتنبيه مسؤول النظام. 

dS adl‏ الوحيدة في بناء أوضاع السلوك الطبيعي ل (أنظمة كشف التسلل ا معتمدة 
على الانحرافات) هي الصعوبة الكبيرة في تطوير أوضاع مرجعية ودقيقة للسلوك الطبيعي . 
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على سبيل JEL‏ قد يقوم جهاز الحاسب الآلي بعمليات نسخ احتياطي كاملة والتي تنطوي 
على كميات كبيرة من نقل البيانات الشبكية في اليوم الأخير من الشهر. وإذا م يكن ذلك 
جزءا من أوضاع السلوك الطبيعيء فإن صيانة مرور البيانات العادية سوف تعد انحرافا كبيرا 
عن أوضاع ذلك السلوك مما يؤدي إلى إطلاق الإنذارات. 
أنظمة كشف التسلل المعتمدة على حالات البروتوكول: 

تقوم (أنظمة كشف التسلل المعتمدة على حالات البروتوكول) بمقارنة الأحداث الملاحظة 
بنشاط البروتوكول Sexti‏ وذلك لكل حالة بروتوكول بهدف تحديد الانحرافات. وفي حين 
تستخدم (أنظمة كشف التسلل المعتمدة على الانحرافات) gas‏ سلوك طبيعي محددة 
للشبكة أو «Cà cA sU‏ فإن تحليل حالات البروتوكول يحدد كيف تستخدم بروتوكولات 
معينة أو لا تستخدم. عاق سبيل «UL‏ إن (أنظمة Baz] Ja] cà S‏ عان خالا 
البروتوكول) تعلم ما إذا كان المستخدم في حالة (غير مصادق) فإنه يجب أن يحاول عدد 
محدود من محاولات تسجيل «Jos JI‏ أو یجب أن يحاول فقط مجموعة من الأوامر 
الصغيرة في حالة (غير مصادق). إذا فإن الانحرافات عن السلوك المتوقع للبروتوكول يمكن 
اكتشافها من خلال (أنظمة كشف التسلل NT‏ على حالات البروتوكول). ومن القدرات 
الأخرى ل (أنظمة كشف التسلل اللمعتمدة على حالات البروتوكول) هي القدرة على تحديد 
التسلسل غير المتوقع للأوامر. على سبيل JEL‏ إصدار الأمر نفسه bbs‏ وتكرارا مكن أن 
يشير إلى هجوم القوة الغاشمة. كما تستطيع (أنظمة كشف التسلل المعتمدة على حالات 
البروتوكول) تتبع هوية المستخدم المستخدمة في كل جلسة وهو أمر مفيد عند التحقيق 
في حادث ما. 

ويمكن أن يشمل تحليل البروتوكول فحص الأوامر الفردية مثل مراقبة أطوال المعاملات. 
فإذا كان يحتوي الأمر عادة على معامل (اسم المستخدم). وكان طول هذا المعامل ٠٠٠١‏ 
حرف فإن ذلك مثير للشك. وبالإضافة إلى EUS‏ إذا كان اسم اللمستخدم يحتوي على بيانات 
غير نصية» فإن طول ال معامل السابق يُصبح أكثر غرابة ويستحق الإشارة إليه. 

والعيب الأساسي في (أنظمة كشف التسلل المعتمدة على حالات البروتوكول) هو أن تتبع 
الحالة لجلسات عديدة في وقت واحد يستنزف الموارد الحاسوبية بشكل كبير مما يتطلب 
استثمارات كبيرة في المكونات المادية للحاسب الآلي. 
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هيكلة أنظمة كشف/ منع التسلل: 

يتبع نشر (أنظمة كشف/ منع التسلل) في المنظمة للهيكلة العادية للأنظمة الموزعة. 
وتحتوي المنظمة على العديد من عوامل الاستكشاف المنتشرة في جميع انحاء المنظمة والتي 
تقوم بجمع معلومات من الشبكة ومعلومات من المضيف. وترسل عوامل الاستكشاف تلك 
بياناتها إلى محطة الإدارة ا مركزية والتي تقوم بتسجيل جميع البيانات الواردة في قاعدة 
بيانات» كما تقوم بالتحليلات المختلفة والمعتمدة على التوقيعات والانحرافات وحالات 
البروتوكول. ويستخدم مسؤولو النظام وحدة تحكم مكتبية أو وحدة تحكم على الشبكة 
لتهيئة عوامل الاستكشافء ومراقبة الإنذارات» واتخاذ الإجراءات الدفاعية المناسبة. 


قيود أنظمة كشف/ منع التسلل: 


تتضمن تكنولوجيا كشف/ منع التسلل اثنين من القيود المعروفة: الإيجابيات الكاذبة 
وا مراوغة. 

مع الحالة الراهنة لهذه التكنولوجيا فإن أنظمة كشف التسلل ليست دقيقة تماما. 
فالعديد من الإنذارات التي تطلقها أنظمة كشف التسلل لا Ji‏ تهديدات حقيقةء كما أن 
العديد من التهديدات الحقيقية تمر دون إطلاق إنذارات. وعملية الإشارة إلى نشاط آمن 
بأنه نشاط ضار تدعى إيجابية ASS‏ أما الفشل في تحديد النشاط الضار فيُدعى سلبية 
كاذبةء والحد من إحدى هاتين العمليتين يؤدي عادة إلى زيادة العملية الأخرى. على سبيل 
«JUS‏ نظام كشف التسلل الحساس جداً سيكشف هجمات أكثر واقعية. لكنه في الوقت 
نفسه سيّشير إلى العديد من المعاملات الآمنة بأنها معاملات ضارة. ونظام كشف التسلل 
الأقل حساسية لن يشر الكثير من الإنذارات الكاذبة: لكن العديد من الهجمات الحقيقية 
go EE‏ كفا وان الفحياة الحققية مكلف colli] ol das‏ تمل اة 
احتمالية اكتشاف حركة المرور الضارة حتى لو كان ذلك يؤدي إلى الاستجابة لكثير من 
الإنذارات الكاذبة. ويآتي ذلك على حساب فريق أمن المعلومات حيث يتوجب عليهم 
تخصيص المزيد من الموارد للتدقيق في جميع الإنذارات الكاذبة للعثور على الأحداث الضارة 
بالفعل. 
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أما المراوغة فهي إجراء نشاط ضار بحيث يبدو bal‏ ويستخدم المهاجمون إجراءات 
المراوغة للحد من احتمال اكتشافهم من قبل تكنولوجيا أنظمة كشف التسلل. على سبيل 
«JULI‏ يمكن أن يتم مسح المنافذ ببطء شديد (خلال Bae‏ أيام) ومن Bae‏ مصادر لتجنب 
الاكتشاف. كما يمكن إرسال البرمجيات الضارة بوصفها أجزاء من مرفقات الملفات وتظهر 
بأنها آمنة. 

ومن ثم فلا يمكن الوثوق بأنظمة كشف/ منع التسلل لكشف جميع الأنشطة الضارة. 
ولكن هكن أن تكون تلك الأنظمة فعالة بوصفها جزءاً من النشر العام لأمن المعلومات في 
المنظمة كما هو الحال في الجُذر النارية. 

وتعد المبادئ التوجيهية الصادرة من المعهد الوطني للمعايير والتكنولوجيا (NIST)‏ 
مضدرا ممتازاً لمزيد من المعلومات حول تكنولوجيا أنظمة كشف/ gia‏ التسلل. 
إدارة تصحيحات أنظمة التشغيل والتطبيقات": 

التصحيح هو برنامج يعمل على تصحيح المشكلات الأمنية والوظيفية في البرمجيات 
والبرامج الثابتة. وتُسمى التصحيحات أيضاً بالتحديثات. وتُعد التصحيحات من أكثر الطرق 
فاعلية في الحد من آثار ثغرات البرمجيات. وف حين هكن للمنظمات أن تعالج مؤقتا ثغرات 
البرمجيات من خلال الحلول المؤقتة (على سبيل «JULI‏ وضع البرمجيات ذات الثغرات «bs‏ 
ed‏ 3) النارية)» تعد التصحيحات أو التحديثات من أكثر الطرق فاعلية في التعامل مع 
ثغرات البرمجيات ال معروفة. 

أما إدارة التصحيحات فهي عملية تحديد التصحيحات والحصول عليها وتثبيتها 
والتحقق منها. والتصحيحات iago‏ بالنسبة Joguk‏ النظام وذلك لفاعليتها في إزالة 
ثغرات البرمجيات. وف الواقع فإن العديد من أطر أمن المعلومات تفرض متطلبات إدارة 
التصحيحات. على سبيل JEL‏ يتطلب معيار أمن البيانات (Data Security Standard)‏ 
التابع لصناعة بطاقات الدفع (Payment Card Industry)‏ تثبيت التصحيحات اممهمة 
خلال شهر واحد من إطلاق التصحيح )2.0 PCI DSS‏ متطلب رقم .(b.6.1‏ 


(9) Souppaya, M. and Scarfone, K. Guide to enterprise patch management technologies (draft), 
NIST special publication 800-40 (accessed 11/24/2012) 
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وتواجه إدارة التصحيحات العديد من التحديات. وأهم تلك التحديات هو إمكانية كسر 
البرمجيات الحالية» خصوصا تلك البرمجيات التي تم تطويرها داخليا باستخدام التكنولوجيا 
القدمة. وبحسب معيار أمن البيانات (Data Security Standard)‏ التابع لصناعة 
بطاقات الدفع (Payment Card Industry)‏ فإن تصحيحات البرمجيات المناسبة يمكن 
تعريفها بأنها «تلك التصحيحات التي تم تقييمها واختبارها بشكل كاف لتحديد أن تلك 
التصحيحات لا تتعارض مع التهيئة الأمنية القامة». وتتناول الإدارة الفاعلة للتصحيحات 
على مستوى المنظمة هذه التحديات وغيرهاء وذلك حتى لا يقضي مس ؤولو النظم وقتاً في 
المشكلات التي يمكن الوقاية منها. 

(às‏ السنوات الأخيرة اكتسبت برمجيات إدارة التصحيحات الآلية شعبية في التعامل مع 
هذه القضايا. ds‏ دراسة مسحية أجريت مؤخراً على أخصائيي تقنية ال معلومات» أجاب 
(XIE)‏ من المشاركين في الدراسة بأنهم يستخدمون منتجات برمجيات إدارة التصحيحات 
الآلية مثل (SUS, HFNetChk, BigFix Enterprise Suite, PatchLink Update)‏ 
لإدارة التصحيحاتء (4M) s‏ يستخدمون تحديثات ويندوزء في حين أن (۱۷<) ينفذون 
الشات و 

وقد حدد المعهد الوطني للمعايير والتكنولوجيا (NIST)‏ تحديات إدارة التصحيحات 
على مستوى المنظمة فيما يلي: التوقيت وتحديد الأولويات والاختبارء والتهيئةء والمضيف 
«Joa‏ ومخزون البرمجيات» والموارد الزائدة الحملء والتحقق من التطبيق. وسنناقش كلا 
منها باختصار في القسم التالي. 


التوقيت وتحديد الأولويات والاختبار: 

من الناحية JULI‏ يجب تثبيت كل تصحيح بمجرد إصداره من قبل المورد وذلك لحماية 
الأنظمة في أسرع وقت ممكن. لكن إذا تم تثبيت التصحيحات دون إجراء اختبارات شاملة 
سيكون هناك خطر حقيقي لفشل نظام التشغيل مما يسبب في تعطل فوري للمسار 
الطبيعي للعمل في المنظمة. وعلى المدى القصير قد تنظر العديد من المنظمات إلى مثل تلك 


(10) Gerace, T. and Cavusoglu, H. «Ihe critical elements of the patch management process,» 


Communications of the ACM, 52(8), 2009: 117-121 
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الاضطرابات على أنها أكثر bp‏ من أي خطر محتمل من عدم تثبيت التصحيح. PARIRI‏ 
أصبحت أكثر تعقيداً من الناحية العملية لأن ا منظمات غالبا ما يكون لديها نقص في الموظفين. 
وللحصول de‏ أقصى قدر من المنافع من وقت الموظفين المحدود للتصحيحات, قد أصبح من 
الضروري أن تُحدد الأولويات بالنسبة للتصحيحات التي يجب تثبيتها أولاً. لذلك فإنه أثناء 
إدارة التصحيح يكون التوقيت» وتحديد الأولويات» والاختبار في أكثر الأحيان في تعارض 


وأحد الحلول لهذا التحدي هو (خُرْم التصحيح). فبدلاً من إصدار التصحيحات في أقرب 
وقت تكون فيه جاهزةء فإنه يتم إصدار مجاميع من تصحيحات عديدة كحزم تصحيح من 
قبل موردي المنتجات كل ربع سنة أو بحسب جداول دورية. وهذا يقلل من جهد اختبار 
التصحيح في المنظمات» كما يسهل عملية النشر. ويمكن لحزم التصحيح القضاء على الحاجة 
لتحديد الأولويات إذا تم تقليل جهود الاختبار والنشر ها فيه الكفاية عن طريق حزم 
التصحيح. وحتى لو استخدم مورد البرمجيات حزم التصحيح فإنه سيقوم بإصدار التصحيح 
امناسب على الفور بدلا من الانتظار لوقت إصدار الحزمة: وذلك إذا كان اختراق ثغرات 
الات فر diss deal‏ 

وفي أثناء تحديد cob sls]‏ التصحيحات من المهم النظر في أهمية الأنظمة التي سيجري 
تصحيحها بالإضافة إلى أهمية الثغرات نفسها. فقد تكون الخوادم المواجهة لشبكة الإنترنت 
أكثر أهمية للتصحيح من أجهزة الحاسب ال مكتبية ال موجودة في EEANN‏ كما يجب 
النظر أيضاً إلى الاعتمادية. فإذا كان تثبيت تصحيح ما يعتمد على تثبيت تيت تصحيحات أخرى 
Sal‏ فإن التصحيحات المطلوبة أولاً ستحتاج إلى اختبار وتطبیق < حتى إذا م تكن ثغرة 
التصحيح في حد ذاتها مهمة جدا. 
التهيئة: 

في بيئة المنظمات يُعد اختبار ونشر التصحيح معقداً بسبب حقيقة وجود آليات عدة 
لتطبيق التصحيحات. على سبيل JEL‏ يمكن تهيئة بعض البرمجيات لتقوم بتحديث نفسها 
Ul‏ بواسطة امستخدم النهائي. وفي حالات 8521« يقوم المستخدم بتثبيت بعض التصحيحات 
bh‏ أو يقوم بتشيت أحدث إصدارات البرمجيات. وفي حين أن الأملوب ال مفضل قد يكون 
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استخدام أداة مركزية لإدارة التصحيح فإنه في بعض الحالات قد يبدأ التصحيح بأدوات مثل 
ماسحات ثغرات الشبكات. 

dig‏ قمعب طرق تت التصتعيحاف legi N U‏ من الارن فقن يداول تلك 
الطرق المتنافسة الكتابة فوق التصحيحاتء أو إزالة التصحيحات المثبتة مُسبقاء أو تثبيت 
التصحيحات التي قررت المنظمة عدم تثبيتها لأسباب الاستقرار التشغيلية. لذا على 
ا منظمات تحديد جميع الطرق التي يتم تطبيق التصحيحات من خلالهاء وحل أي تعارض 
بين طرق تطبيق التصحيحات المتنافسة. 

ويُعد المستخدم مصدر قلق ذا صلة بتهيئة إدارة التصحيحات. فالمستخدم. وخصوصاً 
ا مستخدم ذو السلطة» قد يتجاوز أو يتحايل على عمليات إدارة التصحيحات» مثلا من خلال 
تفعيل التحديثات ا مباشرة, أو تعطيل برمجيات إدارة التصحيحات. أو تثبيت إصدارات 
قديمة وغير معتمدة من البرمجيات» أو إلغاء تثبيت التصحيحات. وإجراءات ال مستخدم 
تلك تقوض من فاعلية عملية إدارة التصحيح. لذا على المنظمات أن تتخذ خطوات طنع 
المستخدم من التأثير سلباً في تقنيات إدارة التصحيح في المنظمة. 


المضيف البديل: 

تحتوي بيئة ال منظمة التقليدية على مجموعة واسعة من المكونات المادية والبرمجيات 
المنتشرة في المنظمة. وتكون إدارة التصحيح مبسطة بشكل كبير في الحالات التالية: تماثل 
جميع المضيفينء ds‏ حال إدارة ا مضيفين بشكل كاملء ds‏ حال تشغيل التطبيقات ونظم 
التشغيل النموذجية. ويولد التنوع في البيئة الحاسوبية تحديات كبيرة خلال التصحيح. 
ومن أمثلة تنوع الهيكلة الحاسوبية: المضيف المدار بواسطة المستخدم النهائي» وأجهزة 
الحاسب YY‏ المحمولة والمستخدمّة في العمل عن بعد والتي تبقى خارج بيئة المنظمة 
لفترات طويلة والتي تعمل على جمع الثغرات» ومكونات تقنية ال معلومات غير القياسية 
مثل الثلاجات التي تدعم خدمة الإنترنت وغيرها من الأجهزة, والأجهزة ا مملوكة للأشخاص 
مثل الهواتف الذكية والتي لا تستطيع المنظمة السيطرة عليهاء والافتراضية التي تعمل على 
إثارة وتدمير موارد أنظمة الحاسب JYI‏ خصوصاً عند عمل الافتراضية ببرمجيات قدهة. 
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ومن القائمة أعلاهء تعد الأجهزة حالة مثيرة للاهتمام بشكل خاص لأن الشركات المصنعة 
لهذه الأجهزة ليسوا مدركين غالبا لأهمية إدارة تصحيح الأخطاء» وقد لا تدعم تلك الشركات 
الإجراءات الآلية لاختبار ونشر التصحيحات. إن إدارة تصحيح الأخطاء لهذه الأجهزة يمكن 
أن تستهلك الكثير من الوقتء كما قد تتطلب عددا hus‏ من الموظفين. 

ويجب أن تنظر عملية إدارة التصحيح الفعالة بعناية إلى جميع هياكل المضيف البديلة 
وا مرتبطة بالبنية التحتية لتقنية ا معلومات في المنظمة. 


مخزون البرمجيات: 
للحصول على اختبار فعّالء تتطلب إدارة تصحيح الأخطاء أن تحتفظ ال منظمة مخزون 
المنظمة. ويجب أن يحتوي هذا المخزون على الإصدار الصحيح» كما يجب أن يحتوي على 


الموارد الزائدة الحمل: 

بعد اكتمال الاختبارء تحتاج (عملية النشر) إلى الإدارة بطريقة تمنع الموارد أن تصبح 
زائدة الحمولة. على سبيل «JULI‏ 

إذا بدأ العديد من المضيفين بتحميل تصحيح الأخطاء ذاته وف الوقت نفسه. وكان ذلك 
التصحيح كبير الحجم» فإن ذلك سيؤدي إلى بطء كبير في سرعة التحميل ON‏ الأقراص الصلبة 
تبحث عن الأجزاء ا مختلفة للبرمجيات لكل مضيف على حدة. وفي المنظمات الكبيرة OB‏ 
عرض النطاق الترددي قد يصبح عائقا ولأا إذا كانت التضخخات ترسل عبر القارة من 
خلال شبكات الاتصال الواسعة es (WAN)‏ المنظمات أن تخطط لتجنب حالات زيادة 
حمولة الموارد. ولتحقيق ذلك فإن الإستراتيجية الشائعة هي تحجيم البنية التحتية لإدارة 
التصحيح للتعامل مع كميات الطلب الممتوقعة» والعمل على توصيل التصحيحات بشكل 
متقطع بحيث يقوم نظام إدارة التصحيح في ا منظمة بتوصيل التصحيحات لعدد محدود 
من المضيفين في أي وقت من الأوقات. 
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التحقق من التطبيق: 

JU‏ أخرى مهمة في إدارة تصحيح الأخطاء وهي إلزام ا لمضيف المستهدف بالتغييرات 
المطلوبة وذلك حتى يأخذ التصحيح أثره. واعتمادا على التصحيح والمكونات المادية 
والبرمجية اللمستهدفة. فإن ذلك لا يحتاج إلى خطوة إضافيةء بل قد يتطلب إعادة تشغيل 
التطبيق أو الخدمة ال مصححة, أو قد يتطلب إعادة تشغيل نظام التشغيل بأكملهء أو قد 
يتطلب إجراء تغييرات أخرى في حالة المضيف. وقد يكون من الصعب اختبار المضيف 
وتحديد ما إذا كان التصحيح قد أخذ أثره. 

وإحدى آليات التعامل مع هذا التحدي هي استخدام وسائل أخرى لتأكيد التثبيت» مثلا 
استخدام ماسح ثغرات مستقل عن نظام إدارة التصحيح"". 
حماية نقطة النهاية: 

حماية (نقطة النهاية) هي عبارة عن الأمن المطبق في جهاز المستخدم النهائي. وأجهزة 
المستخدم النهائي هي أجهزة الحاسب المكتبية وأجهزة الحاسب ال محمولة والأجهزة النقالة 
المستخدمة مباشرة من قبل عملاء نظام تقنية المعلومات. وعادة ما يتم تنفيذ حماية 
(نقطة النهاية) باستخدام تطبيقات برمجية متخصصة في تقديم الحماية مثل الحماية من 
الفيروسات,. والحماية من البرامج الضارة. وكشف التسلل. وتعمل حماية (نقطة النهاية) 
كخط دفاع أخير في محاولة للتعامل مع المشكلات الأمنية التي م تتعامل معها ضوابط 
الشبكة مثل jàeJl‏ النارية وأنظمة كشف التسلل. 

وأمن (نقطة النهاية) هكن أن يقدم أمناً Y‏ تستطيع أنظمة على مستوى المنظمة أن 
تقدمه. على سبيل المثالء تستطيع أنظمة أمن (نقطة النهاية) تأكيد أن إصدارات نظام 
التشغيلء والمتصفح, وعميل البريد الإلكتروني» وغيرها من البرمجيات المثبتة على الجهاز أنها 
محدثة» كما تقوم تلك الأنظمة بتنبيه المستخدم لبدء التحديث إذا لزم الأمر. والضوابط 
الأمنية القائمة على الشبكة لا ممكنها عادة توفير هذا المستوى الدقيق من الأمن. 


Software vulnerability» إدارة مايكروسوفت لتصحيحاتها الأمنية. انظر‎ LAS عن‎ ele del وللاطلاع على‎ (VY) 
(2013/22/management at Microsoft,» at http://go.microsoft.com/?linkid-9760867 (accessed 07 
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وتعمل حماية (نقطة النهاية) أيضاً على توفير حماية ضد الأجهزة ا مخترقة داخلياً في 
الشبكة. على سبيل ال مثالء إذا كان هناك جهاز حاسب آلي مخترق داخل الشبكةء وقام هذا 
الجهاز المخترق بالبدء مسح المنافذ داخل الشبكة فإن برمجيات حماية (نقطة النهاية) 
الموجودة على المضيف المستهدف تستطيع كشف ذلك المسح, كما تستطيع منع الطلبات 
الأخرى من ذلك الجهاز حتى يتم حل هذه المسألة. 

ومن الشركات امعروفة في تقديم برمجيات حماية نقطة النهاية شركة (Symantec)‏ 
وشركة (McAfee)‏ وتقدم مايكروس وفت برنامج حماية يُدعى (Windows Defender)‏ 
العمليات: 

تتعرف برمجيات أمن (نقطة النهاية) على البرمجيات الخبيثة والفيروسات باستخدام 
إحدى طريقتين: توقيعات البرمجيات الخبيثة ومدى اشتهارها. والكشف القائم على 
التوقيعات هو الطريقة التقليدية في الكشف عن البرمجيات الضارة. أما آليات الكشف 
المعتمدة على مدى اشتهار البرمجيات الخبيثة فهي الأحذكه كما تعن Loa‏ أكر كفادة 
في الكشف عن التهديدات التي لمم تكن معروفة IER:‏ 
حماية نقطة النهاية المعتمدة على التوقيعات: 

لقد رأينا فيما سبق أن التوقيع هو سلسلة من البايتات المعروف عنها أنها جزء من 
البرامج الضارة. والتوقيعات هي التقنية السائدة المستخدمة في حماية (نقطة النهاية). وقد 
اعتمدت طرق الكشف عن الفيروسات والبرامج الضارة التقليدية على إجراء الخبراء لتحليل 
تفصيلي لكل فيروس وكل برنامج ضار قابل للتنفيذ. وذلك لتحديد سلسلة البايتات المميزة 
للفيروس والبرنامج الخبيث. وبأسلوب التعبير الشائع فإن سلسلة البايتات المحددة هي 
نفسها تعريف الفيروس. وبمجرد تحديد كل سلسلة بايتات» يتم إضافتها إلى قاعدة بيانات 
البرمجيات الخبيثة المعروفة التابعة لنقطة النهاية. 

وتقوم برمجيات حماية نقطة النهاية بفحص جميع الملفات الواردة والصادرة وال منفذة 
معرفة مدى وجود توقيع الفيروسات المعروفة. وإذا تم العثور على أحد تلك التوقيعات, 
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ويواجه كشف الفيروسات والبرامج الضارة اعتماداً على التوقيعات بعضاً من المشكلات 
ا معروفة. والمشكلة الأكثر وي هي عدم إمكانية هذه الطرق الحماية من التهديدات 
غير المعروفة مسبقاً. فعندما يكون إصدار الفيروس حديثاً فإن توقيع هذا الفيروس لن 
يكون موجوداً في قواعد بيانات (نقطة النهاية) ومن ثم فإن برمجيات حماية (نقطة النهاية) 
ستنظر إلى البرنامج على أنه برنامج آمن. 

ثانياء إن عدم قدرة (الكشف المعتمد على التوقيع) على منع الفيروسات غير المعروفة 
تُشجع نمو أعداد الفيروسات. نظرياء يستطيع صانع الفيروس تعديل بايث واحد فقط من 
البرنامج الضار ليُعيق قدرة (الأنظمة ال معتمدة على التوقيع) على معرفة البرنامج الضار. 
liag‏ يشجع ال مطورين على إنشاء فيروسات تقوم بتعديل نفسها بمهارة عند الانتشار دون 
الحاجة لأي تدخل من المطور مما يؤدي إلى تضخم في أحجام قواعد بيانات التوقيعات. 
وها أنه يجب فحص كل ملف ضد جميع التوقيعات ا معروفة, فإن نمو حجم قاعدة بيانات 
التوقيعات يؤدي في نهاية المطاف إلى حقيقة أن (الكشف المعتمد على التوقيع) يسبب إبطاء 
النظام بشكل ملحوظ. وقد أثر سباق التسلح هذا بين الفيروسات وتوقيعات الفيروسات 
سلبا على أداء النظام التابع لنقطة النهاية. 


مدی انتشار توقيعات الفيروسات”"". 
في Y « «A ele‏ اكتشفت 3 d$‏ سيمانتك (Symantec)‏ وهي شركة متخصصة في حماية c.‏ 
النهاية)ء أكثر من Ne‏ مليون برنامج ضار قابل للتنفيذ. وفي حين أن الشركة كانت في عام ٠٠‏ 


تنشر خمسة توقيعات لفيروسات جديدة كل يوم فإن الشركة أصبحت تنشر في عام ۲۰۰۸ آلافاً 
من توقيعات الفيروسات الجديدة كل يوم. وهذه التوقيعات الجديدة كانت تضاف بشكل مطرد 
إلى حمل اكتشاف التوقيعات في كل جهازء مما يؤدي إلى تعطل بعض الموارد الحاسوبية والتي 
يمكن استخدامها في مهام أكثر إنتاجية. 





(12) http://www.symantec.com/connect/blogs/how-reputation-based-security-transforms-war-malware 
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حماية نقطة النهاية المعتمدة على مدى اشتهار البرمجيات الخبيثة: 


CALL all 855 (adl coles] Jazàl ا مسنم معان مدق‎ dial EÊ ê) doleo 
اعتماداً على نقاط الشهرة التي يتم حسابها بواسطة خواص الملف الملحوظة. ويتم حساب‎ 
ue als Jae MU] من التحلوك‎ CAL عن‎ cal colaele- تأر كل بفاضية من‎ 
أجهزة المستخدمين. ومع مرور الوقت يتم حساب نقاط الشهرة ويتم تحديثها دورياً لكل‎ 
ملف معروف وقابل للتنفيذ'"". وإذا تمت مواجهة برنامج حاسوبي قابل للتنفيذ فإن (نظام‎ 
Je فين‎ qal] eb Gel سطع فد‎ (Bst adl تقطة النياية ال :مان‎ dh 
النظر في نقاط شهرته (إذا كانت معروفة) أو من خلال حساب شهرة البرنامج المحتملة من‎ 
AB gol] qual) خواض‎ 
وها أن (حماية نقطة النهاية المعتمدة على مدى اشتهار البرمجيات الخبيثة) تحتاج فقط‎ 
إلى النظر في خواص املف ال معروفة (مثل حجم ا ملفء والعمرء وا لمصدر). فإن هذه الطريقة‎ 
كل بايت في كل ملف بحثاً عن وجود أحد توقيعات البرمجيات الخبيثة‎ gub تلغي الحاجة‎ 
المعروفة والتي يقدر عددها بالملايين. وهذا يسرع من عملية مسح الفيروسات والبرمجيات‎ 
الخبيثة بشكل كبير مما يسمح بتكريس الموارد الحاسوبية إلى مهام أكثر إنتاجية مقارنة‎ 
بطريقة كشف التوقيعات.‎ 


وتعد الطرق المعتمدة على الشهرة مُصممة على مقاومة الفيروسات الجديدة. وتحصل 
الملفات غير المعروفة مسبقاً بشكل طبيعي على درجة شهرة منخفضةء ويشبه ذلك إلى حد 
كبير المقترضين الجُدد مثل المراهقين الذين يبدؤون بدرجة اثتمان منخفضة. ومع استخدام 
الملف من قبل أكثر من مستخدم ولفترات طويلة من الزمن ودون أي آثار ضارةء فإن درجة 
شتوو اذلف تمتو وهذ ا E‏ فة تعس dard edi acl‏ اماف من خلال 
تحمل مسؤولية القروض. لذا فإن الآليات المعتمدة على الشهرة تضع (علاوة) على مدى 
الإمام با ملف ومن ثم فإنها تتمكن من إيقاف نمو متغيرات البرمجيات الخبيثة. 


(W)‏ تشير التقديرات إلى أن هناك أكثر من ٠١‏ مليارات ملف قابل للتنفيذ. المصدر: محادثة شخصية مع خبراء الصناعة 
في اجتماع مؤسسة العلوم الوطنية (NSF)‏ الأول للباحثين الرئيسين حول إنترنت آمنة وموثوقة. 
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الأمن النسبي في مقابل الأمن المطلق 
الغرض من الضوابط المستعرضة في هذا الفصل هو الدفاع ضد معظم الهجمات والتهديدات 
العامة. على سبيل JEL‏ من تلك التهديدات المهاجم الذي يسعى لتثبيت الروبوتات (bots)‏ 
على أي جهاز حاسب YI‏ بغض النظر عن ذلك الجهاز. : 
وعموما يعد الأمن نسبيا في هذه الحالات. فما دامت منظمتك أكثر أمنا من المنظمات الأخرى 
التي تعمل في ذات المجالء فإنك ستكون في مأمن لأن المهاجم سيركز على أسهل الأهداف. وهذا 


هو بالفعل النهج العام لأمن المعلومات. 

وتشكل التهديدات المتطورة وا مستمرة تحدياً جديداً. وتأتي التهديدات المتطورة وا مستمرة على 
شكل هجمات مستهدفة يركز فيها المهاجمون على منظمة معينة لأي سبب من الأسباب (عادة 
لاختراق الملكية الفكرية). وسوف يحاول المهاجمون بكل ما لديهم من وسائل للحصول على ما 
يريدون. وفي هذه الحالة يعد الأمن Gal‏ مطلقا. وما تحتاج إليه المنظمة عملياً أن تكون آمنة 
بحيث لا يمكن اختراقها بواسطة المحاولات المستهدفة من قبل المهاجم. 





نموذج حالة - شبكات شركة :(AirTight)‏ 

في عام ٥‏ أكمل برافين باغوات (Pravin Bhagwat)‏ الدكتوراه في الحاسب الآلي 
من جامعة ماريلاند à (University of Maryland)‏ كلية .(College Park)‏ وبعد ذلك 
عمل باحثاً [HD jj‏ 2 مركز بحوث .(AT&T Research and IBM Thomas J. Watson) e‏ 
وبحلول عام ۲۰۰۲ أصبح برافين باحثاً Byss‏ في مجال الشبكات اللاسلكية حيث شارك 
في تأليف 0 براءات اختراع في جوانب مختلفة من الشبكات اللاسلكية9". وف المحاولات 
المبكرة التي تمت في تلك الأيام» كانت الصناعة تسعى لإيجاد إصدار لاسلكي من شبكة 
الإيثرنت (Ethernet)‏ وكان الهدف تمكين أجهزة الحاسب الآلي من إرسال البيانات دون 
الحاجة إلى أسلاك لنقل البيانات. وبدأ التسويق لهذه التقنية في عام ۱۹۹۷ عندما قامت 
جمعية مهندسي الكهرباء والإلكترونيات (IEEE)‏ بنشر معيار (۸۰۲,۱۱) لتكنولوجيا إيثرنت 
اللاسلكية الناشئة. وحدد هذا امعيار معدل نقل البيانات ليصل إلى Y‏ ميجابت في الثانية 
وكان مصمماً في الأماس للاستخدام من قبل ا ماسحات الضوئية في متاجر البيع بالتجزئة 


(14) http://patft.uspto.gov/netahtml/PTO/search-adv.htm 
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وا مستودعات. وف عام ۱۹۹٩‏ تم نشر معيار (A-Y,YYb)‏ والذي يحدد معدل نقل البيانات 
ليصل إلى ١١‏ ميجابت في الثانية. وعندما أدركت الشركات المصنعة للحاسب الآلي أن 
معدلات نقل البيانات تلك قابلة للمقارنة بمعدلات نقل الإيثرنت للبيانات والتي تصل إلى 
٠‏ ميجابايت ف dal‏ رأت الشركات المصنعة أنه بالإمكان إضافة هذه التقنية بوصفها 
جزءاً متكاملاً من اللوحة الأم لأجهزة الحاسب الآلي. 


إن تكامل شبكات الواي فاي (wi-fi)‏ في أجهزة الحاسب الآلي أعطى إشارة إلى برافين 
أن La S enata Saul cac aJ‏ التكتولوجنا SELI‏ كان la S d y‏ ستصبح هن 
C8 JULI‏ للمستخدمين حمل أجهزة الحاسب الآلي في حقائب اليد (أجهزة الحاسب الآلي 
ا محمولة). وبعد أن أمضى سنوات عديدة في هذا المجال بصفة متخصصء» بدأ التفكير جديا 
في اقتناص الفرص الريادية في هذا القطاع. 

والخيار الواضح كان الدخول في مجال أعمال تقديم نقاط الوصول اللاسلكية. لكن في 
الوقت الذي حدد فيه برافين الفرصة. كانت هناك شركات (Airespace) s (Aruba) Jis‏ 
(Aerohive)s (Airgo)s (Vivato)s (Trapeze)s‏ قد حصلت بالفعل على مستويات 
تمويل عالية من العديد من المستثمرين. والمنافسة في هذا المجال تعني التنافس مع شركات 
ممولة تمويلاً جيداً مع إمكانية وصولهم إلى أفضل المستشارين في الصناعة. وللدخول في 
هذا المجالء وضع برافين نموذجاً من ثلاث خطوات كما يلي: )١(‏ توقع مشكلة ماء (Y)s‏ 
صمم «مصيدة» رائعة لحل تلك المشكلة» (Y)s‏ كن جاهزاً لخدمة العملاء عندما تظهر 
المشكلة المتوقعة. ومع العلم أن الآخرين قد تغلبوا عليه في هذه الفرصة. إلا أنه قرر أن 
يتطلع إلى الأمام لمعرفة الفرص القادمة في هذا القطاع. وليس ذلك فحسب فقد قرر أن 
يكون مستعداً بالحلول عندما يتوصل إلى تلك الفرص. 


الثغرات باعتبارها فرصة عمل: 


الخبرة المكتسبة من اقتحام تطور التكنولوجيا في مهدها أعطت برافين بعض الرؤى 
الفريدة من نوعها. لقد أدرك أن إدخال الشبكات اللاسلكية سوف يكشف عن فئة جديدة 
وكاملة من الثغرات داخل المنظمات. وبالتحديد فإن الأعمال التجارية إلى الآن لا تعد أسلاك 
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شبكة الإيثرنت (طبقة (Y‏ مصدرا للتهديدات. وأسلاك شبكة الإيثرنت تكون عادة معزولة 
داخل المباني حيث يتطلب الدخول إليها بعضاً من الإجراءات الأمنية المادية التقليدية التي 
تحول دون وصول المهاجمين لتلك الأسلاك مما يحول دون إحداث الأضرار. لذا فإن معظم 
الثغرات الأمنية في هذه البيئة تحدث في طبقة الشبكة أو الطبقات الأعلى. وها أن كل 
حركة ا مرور عبر المنظمات تمر من خلال موقع مركزيء وهو بوابة اموجه الشبكيء فإن جداراً 
ناريا بقواعد واضحة اللعالم BESS‏ للتعامل مع معظم الهجمات في معظم ال منظمات. 
ولكن ذلك سيتغير إذا تم إيصال نقاط وصول الواي فاي مباشرة بشبكة الإيثرنت. 
فالإشارات اللاسلكية تنتشر في جميع الاتجاهات. وفي المجمع الكبير الذي يضم العديد من 
المكاتب. فإن الإشارات اللاسلكية من شركة ما يمكن رصدها من الشركة المجاورة. وسيصبح 
من ال ممكن فحص الحزم وتعديلها وحقنها في الشبكة بشكل غير مصرح به من خارج 
الشبكة من خلال نقاط الوصول «AB‏ أو من خلال مجرد الوقوف في البهو. وكانت تلك ثغرة 
جديدة تماماً ومن شأنها أن تؤثر حتماً في كل منظمة في العام. 
ولأن برافين يدرك أنه لا أحد يعلم عن الفرص التجارية لهذه الثغرة, قرر العمل نحو إيجاد 
حل لهذه المشكلة. وبداً بوضع ما أعده برافين العناصر الثلاثة الأساسية لبداية المشروع: 
5,53« وفريق «Jas‏ وامموارد اممالية اللازمة لدعم الفريق حتى يتم الوصول إلى الأرباح. 
لكن ماالمصيدة الرائعة في أمن المعلومات؟ هل هي نظام منع الاختراق؟ لكن هذا 
النظام يعد تكنولوجيا معروفة. هل المصيدة الرائعة أمر يُخفض التكلفة؟ كيف ممكنك أن 
تفعل ذلك؟ رها من خلال أتمتة شيء ما؟ وبعد الكثير من التفكير حلص إلى أن شيئاً يقوم 
بأتمتة وظائف إدارة النظام الأساسية قد يكون مفيدا. 


وبناء على ذلك ركزت الشركة على أتمتة الكشف عن نقاط الوصول الضارةء وأتمتة مسح 
الشبكة اللاسلكية. وبحلول نهاية عام 27٠٠0‏ أي بعد عامين من التطوير المكثفء أصبح 
لدى برافين الحل العملي لهذه المشكلة. وفي حين أن الحلول القائمة تحدد جميع نقاط 
الوصول à» Gl‏ على الشبكة (الشكل 1-3( فإن الحل الذي طوره برافين يحدد كل نقطة 
وصول في المنطقة المحيطة كنقطة داخلية» أو نقطة خارجية» أو نقطة خطيرة أو نقطة م 
يتم تهيئتها بالشكل الصحيح (الشكل ۷-۹). وهذه التقنية تسمح لمسؤول الشبكة بتحديد 
نقاط الوصول التي تحتاج إلى انتباه بكل وضوح (تلك باللون الأحمر في الشكل ۷-۹). 


أمن المعلومات وإدارة مخاطر تقنية المعلومات oY‏ 


الفصل التاسع 


الشكل )1-3(: لوحة تحكم تقليدية لأحد المنافسين )2003 (circa‏ 
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الشكل :(V-3)‏ لوحة تحكم تابعة لشركة )2005 AirTight (circa‏ 
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والعنصر الأساسي في تكنولوجيا شركة (Airtight)‏ هو صندوق مادي يضاف إلى الشبكة. 
ويقوم هذا الصندوق باستشعار الإشارات اللاسلكية 2 امحيط ليجمع كل ال معلومات 
المطلوبة» كما يقوم بمعالجة الإشارات باستخدام الخوارزميات التي تملكها الشركة. 


أمن المعلومات وإدارة مخاطر تقنية المعلومات 


الضوابط الأمنية باستخدام المكونات المادية والبرمجيات 


محفز السوق: 

lel حين أن التكنولوجيا مثيرة للاهتمام ومقنعة: إلا أن برافين سرعان ما واجه‎ d 
آخر. فعندما بدأ برافين بتسويق التكنولوجيا لاحظ أن العملاء امرتقبين م يدركوا أهمية‎ 
لحل‎ JU. اتخاذ أي إجراء عاجل. وبالنتيجة فإن برافين كان يحاول إقناع العملاء بإنفاق‎ 
وم يتعرض لها أحد منهم غا وكأنه كان يحاول‎ Gla مشكلة محتملة غير موجودة‎ 
لم تكن الحلول الأمنية‎ ۲٠١١ بيع الأمبرين لأشخاص م يعانوا من الصداع أبداً. وفي عام‎ 
للشبكات اللاسلكية شرطاً مفروضاً على الشركات من قبل مسؤولي الولاية أو الهيئات‎ 
ولا أحد يريد‎ (Payment Card Industry) الصناعية مثل اتحاد صناعة بطاقات الدفع‎ 
أن ينفق ا مال على أمن ا معلومات إلا إذا توجب عليهم فعل ذلك. وأي شخص مهتم بأمن‎ 
الشبكات اللاسلكية فإنه سيكون سعيدا بأي مستوى من الأمن يقدمه ا مورد مع نقاط‎ 
الوصول المصممة في النظام.‎ 

والطريقة التي عملت بها الشركة اعتباراً من عام ۲١١۷‏ أن النجاح كان محدودً في 
الصناعات التي يكون للأمن فيها أولوية عالية مثل المؤسسات الالية» وشركات OYLY‏ 
والقطاع الحكومي. وقد أدرك مديرو تقنية المعلومات في هذه المنظمات ذلك التهديد. 
وكانوا على استعداد للاستثمار في الحلول التقنية التي تضيف طبقة إضافية من الأمن 
لشبكاتها اللاسلكية الحالية. 

وخلال الأعوام من ٠٠١٠‏ إلى ۷٠٠۲ء‏ استمرت الشركة في العمل من خلال ما يعده برافين 
الأساسيات الثلاثة للمحافظة على الشركة بعد انطلاقها: الجهد. والوقت والصبر» ورأس اطال. 
وحصل برافين على التمويل من الشركات الاستثمارية التي اقتنعت برؤية برافين» وهي 
شركات ذات سمعة طيبة ومن جميع أنحاء العام. 

لکن كل هذا تغير عندما أصبح ألبيرتو جونزاليس (Alberto Gonzalez)‏ وأنشصطته في 
شركة تي جي ماكس (TJ Maxx)‏ معروفة. فقد أصبحت الشركات مُدركة للخطر الجديد 
الذي أنشأته الشبكات اللاسلكية. وبالإضافة إلى ذلك فإن إصدار رقم )١,١(‏ لمعايير (PCI)‏ 
قد طرح مُتطلباً لجميع الشركات التي تقبل البطاقات الائتمانية بضرورة المسح الدوري 
للشبكات اللاسلكية لتحديد نقاط الوصول غير المهيأة بشكل جيد )6 يكن هناك Jis‏ هذا 


أمن المعلومات وإدارة مخاطر تقنية المعلومات 0۰0 


الفصل التاسع 


المتطلب قبل وقوع حادثة تي جي ماكس). وهكذا ساعد آلبرتو جونزاليس بتوعية زبائنه 
بطريقة لم يتمكن هو من مساعدة نفسه بها. وفجأة أصبحت الشركات تعاني من الصداع 
وأصبحت تبحث عن الأسبرين الذي يمكن أن توفره شركة (AirTight)‏ 


الوضع الحالي: 

تلقت شركة (Airtight)‏ العديد من جوائز الصناعة على مر السنين. وفي وقت كتابة 
هذا الكتاب» كان لدى الشركة YA‏ براءة اختراع تغطي جوانب مختلفة من التكنولوجيا 
التي طورتها الشركة. وفي عام ٠١١١‏ وضعت شركة (Gartner MarketScope)‏ وهي 
شركة لأنظمة منع اختراق شبكات الاتصال اللاسلكية المحلية» منتج (Airtight Networks)‏ 
تحت تصنيف (إيجابي قوي) حيث تعد شركة (Airtight)‏ الشركة الوحيدة التي حققت هذا 
التصنيف في حقل يضم منتجات من قادة الصناعة مثل شركة (Cisco)‏ وشركة (Motorola)‏ 
وشركة (Aruba Networks)‏ وقد عززت ميزات هذا المنتج تحقيق مزيد من النجاح 
مما أدى إلى جذب مجموعة من العملاء Jis‏ شركة (Citrix)‏ وشركة New York City)‏ 
(Transit‏ وشركة (Ryder Systems)‏ 


الاتجاهات المستقبلية: 


وبعد سيطرة شركة (Airtight)‏ على سوق أمن شبكات الواي فاي لعدة سنوات» تتطلع 
الشركة الآن للتوسع عن طريق الدخول إلى أسواق أكبر. هل تذكر سوق الوصول اللاسلكي 
الذي ينس برافين من الوصول إليه في الأيام الأولى للشركة لكونه متأخراً في دخول ذلك 
السوق؟ الآن تبحث شركة (AirTight)‏ دخول هذا السوق بالتحديد. وذلك بعد إقامة 
علاقات مع بعض كبار العملاء من خلال تقديم عروض أمن الشبكات اللاسلكية لها. ومن 
ا متوقع أن ترتفع إيرادات سوق الوصول اللاسلي من € مليار دولار تقريباً في عام 7١1٠‏ إلى 
نحو ۲۰ مليار دولار في عام ۲۰۲۰. وتعتقد شركة (AirTight)‏ أنه ما دام بإمكانها تحقيق 
الأمن بالشكل الصحيح» على الرغم من أن المعروف عن تقنيات الأمن على نحو واسع بأنها 
تقنية صعبة الإتقان» فإنه سيكون بإمكان الشركة أيضا تحقيق الوصول بالشكل الصحيح. 


0۰٦‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


الضوابط الأمنية باستخدام المكونات المادية والبرمجيات 


وتقوم شركة (AirTight)‏ بجهود في العديد من الصناعات التي فيها انتشار واسع 
للشبكات اللاسلكية الموزعة مثل تجارة التجزئة» والضيافة, والرعاية الصحية» والتعليم. 
والشركات في هذه الصناعات كبيرة لكن احتياجاتها الأمنية متواضعة. وقد دخلت شركة 
(AirTight)‏ هذه الصناعات من خلال تقديم الميزات التي قد تكون ذات فائدة لكل من 
هذه القطاعات. على سبيل «JULI‏ يستطيع العملاء تفعيل قدرات الوصول إلى شبكة واي 
فاي باستخدام الأجهزة الأمنية المنتشرة مع ترقية بسيطة للبرمجيات. وفي قطاع التعليم 
العالي» تقوم شركة (AirTight)‏ بتطوير الميزات التي تسمح للأساتذة والطلاب بدراسة 
شبكات الحاسوب عن طريق اختبار شبكات امرور التي تم تصفيتها مباشرة داخل الحرم 
الجامعي. 

وفي وقت كتابة هذا الکتاب» أي في منتصف عام 7١17‏ حققت شبكات (AirTight)‏ 
انتصارات رئيسية لوصول شبكات الواي فاي في قطاع التجزئة. وقد انتشرت تكنولوجيا 
شركة (AirTight)‏ في آلاف المواقع لبعض محلات التجزئة المحلية المشهورة. وأحد الميزات 
المنتتشرة في محلات بيع التجزئة هي الخدمات التحليلية للبيانات الضخمة التي تهدف 
ممساعدة هذه الشركات في تتبع الزوار وتقديم عروض ترويجية مخصصة من خلال الهواتف 
المحمولة. وتسمح ميزة أخرى لهذه المنظمات بتقديم وصول آمن للشبكة اللاسلكية في كل 
موقع» وذلك بتحقيق الحد الأدنى من التهيئة لكل محل. 

ولمعالجة محدودية الميزانيات المالية في التعليم العالي» طورت شركة (AirTight)‏ حلول 
نقاط الوصول اللاسلكية والمدارة بالحوسبة السحابية. وذلك للقضاء على أحد أغلى مكونات 
النشر التقليدي للشبكات المحلية في الحرم الجامعي. وهذا النموذج يسمح ببساطة 
للمنظمات بنشر نقاط الوصول اللاسلكية على الشبكة حيث تقوم بتهيئة نفسها تلقائيا. 
ويقوم مسؤولو الشبكة بإدارة نقاط الوصول باستخدام واجهة بسيطة ممتصفح الشبكة. 

وقد أطلقت شركة (AirTight)‏ على تلك المنتجات (نقاط الوصول اللاسلكية الذكية 
doge fats‏ الما bts) cs dua‏ الوضون I‏ ت و اة واا وة 
تحكم). وهذه التغييرات الهيكلية رفعت من مدى تطوير المكونات المادية للحاسب الآلي 
على مدى العقد الماضي. وها أن وحدات المعالجة المركزية أصبحت sul‏ &« وذاكرات الوصول 


أمن المعلومات وإدارة مخاطر تقنية المعلومات 0۰۷ 


الفصل التاسع 


ls sl‏ أصبحت أرخصء وأصبحت المعايير سائدة» فإن المقايضات التي أوجبت استخدام 
وحدات التحكم المركزية قد تغيرت. والآن بإمكان نقاط الوصول غير المكلفة أن تحل محل 
التكنولوجيا التي كانت باهظة التكاليف قبل عقد واحد فقط. إن صناعة الوصول اللاسلكي 
والتي مرت خلال مرحلتين من التغييرات الفوضوية”" قد تكون معرضة لتغيير فوضوي آخر 
في حياتها التي ما زالت قصيرة. 

Wireless Field Day 5 presentation by David King, CEO of AirTight Networks, 


http://www.youtube.com/watch?v2qxNAUeevfvc&listZPLObjX zORJMAz 
OEBXmsQqSS5EOWZzb96St&index-16 (accessed 813/11/) 


محادثة شخصية مع بطل الحالة بواسطة أحد مؤلفي هذا الكتاب 
أسئلة مراجعة للفصل: 
.١‏ ما مفهوم كلمات المرور؟ euis‏ تستخدم؟ 
۲. اشرح باختصار بعض الأشكال البديلة لكلمات المرور. 
.Y‏ ما إدارة كلمات المرور؟ وما أهميتها؟ 
ع. ما التهديدات المهمة لكلمات ال مرور؟ 
0. ما التوصيات المهمة لإدارة كلمات ال مرور؟ 
1. ما هي بعض إيجابيات وسلبيات كلمات المرور؟ 
.V‏ ما الجدر النارية؟ وما استخداماتها العامة؟ 
6. اكتب مثالا لقاعدة جدار ناري باستخدام الصياغة الموضحة في هذا الفصل. اشرح 


ما تقوم به هذه القاعدة. 


)0( المرحلة التي كان فيها مرور الشبكة يُدار بواسطة نقاط الوصول كانت تعد المرحلة الأولى» في حين يُعد استخدام 
وحدات تحكم مركزية لإدارة مرور الشبكة ال مرحلة الثانية. 


0۰۸ أمن المعلومات وإدارة مخاطر تقنية المعلومات 





الضوابط الأمنية باستخدام المكونات المادية والبرمجيات 
. اكتب قاعدة لجدار ناري تقوم بحظر جميع الطلبات الواردة (منفذ (A*‏ من شبكة 
)5,4 و4 1/1931 ا ). 
٠.ما‏ هي بعض قيود j32JI‏ النارية؟ 


١.ماالجُدُر‏ النارية للفحص العميق Se) A‏ وما الإمكانات الإضافية التي توفرها 
مقارنة بِالجُدّر النارية لتصفية الخزم؟ 


.ما الفروق بين الشبكة المحيطة والشبكة الداخلية من وجهة نظر أمن المعلومات؟ 
e al Y‏ مخططا لجدار ناري تقليدي في منظمة ما موضحاً الجدار الناري المحيطء 
والجدار الناري الداخلي» والمنطقة المنزوعة السلاح» والشبكة الداخلية. 


٤.ما‏ التوصيات الأساسية لتهيئة الجدار الناري؟ 

Gs. Vo‏ أنظمة كشف/ منع التسلل؟ 

gosse على التو دعا وما اما اوا‎ Baz] az] CRAS (أنظمة‎ Gs V 

sass وها‎ a وما‎ KOS عن‎ Baazsll السلل‎ E RAV 

s. VA‏ رأنظلمة JL ac) CA AS‏ ا امد سان بغالاف (Us Sisi‏ وما اماتا وها 
عيوبها؟ 

ما التصحيح؟ وما حزم التصحيح؟ وماذا تستخدم؟ 

١٠.ما‏ إدارة التصحيح؟ 

١.اشرح‏ باختصار eal‏ التحديات التي تواجه إدارة التصحيح الفعالة. 


.ما حماية نقطة النهاية؟ وهل هي ضرورية في المنظمات التي تحتوي على ضوابط 
شبكة قوية مثل الجدر النارية وأنظمة كشف التسلل وكلمات js Ll‏ القوية؟ 


“.ما هي بعض الخدمات الهامة التي توفرها حماية نقطة النهاية؟ 
٤.ما‏ هي بعض القيود في الحماية من البرامج الضارة المعتمدة على التوقيعات؟ 
.ما الحماية من البرامج الضارة المُعتمدة على الشهرة؟ 


أمن المعلومات وإدارة مخاطر تقنية المعلومات 0 
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أسئلة على نموذج الحالة: 
.١‏ قدم مُلخصاً للمتطلبات الأمنية للشبكات اللاسلكية (سيُرشدك البحث في الإنترنت 
عن مصطلح «PCI wireless requirements»‏ إلى بعض المصادر ال مفيدة) 
.Y‏ افترض أنك (مدير معلومات) في منظمة متوسطة إلى كبيرة الحجم. ما مدى أهمية 
حجم الشركة الموردة في قرارك لاستخدام منتجاتها في أمن معلومات منظمتك؟ 
ومماذا حجم الشركة ال موردة ثل أهمية بالنسبة لك؟ 
.Y‏ افترض أنك (مدير معلومات) في منظمة متوسطة إلى كبيرة الحجم. ما مدى تأثير 
الوجود ا مسبق لتكنولوجيا ا مورد في منظمتك على قرارك لاستخدام منتجاته في 
(al‏ معلومات منظمتك؟ وماذا تمثل الخبرة السابقة مع المورد أهمية بالنسبة لك؟ 
.٤‏ افترض eb]‏ (المدير التنفيذي) لمنظمة ناشئة تقدم منتجات مؤثرة في تحسين أمن 
معلومات المنظمة. كيفك يمكنك معالجة القضايا التي أثيرت في السؤالين السابقين؟ 
.٥‏ قم بزيارة ا موقع الإلكتروني لشركة .(AirTight)‏ ما المنتجات والخدمات الأساسية 
التي تقدمها الشركة؟ 
نشاط التدريب العملي - نظام كشف التسلل المعتمد على المضيف (OSSEC)‏ 
على المضيف ومفتوح المصدرء حيث سنقوم بتثبت واختبار هذا النظام على آلة xS‏ 
الافتراضية التي سبق الحديث عنها في الفصول السابقة. ويقوم نظام (OSSEC)‏ بتحليل 
السجلء والتحقق من تكامل الملف» ومراقبة السياسات» والكشف عن الجذور الخفية, 
والتنبيه في الوقت الفعلي» والاستجابة الفعالة. ولمزيد من المعلومات راجع الموقع الإلكتروني 
لنظام (OSSEC) (http://www.ossec.net)‏ 


ولتثبيت نظام (OSSEC)‏ افتح نافذة طرفية واستخدم (su)‏ لحساب الجذر: 


01° أمن المعلومات وإدارة مخاطر تقنية المعلومات 


الضوابط الأمنية باستخدام المكونات المادية والبرمجيات 


alicegsunshine -]$ su - 


Password: thisisasecret 





انسخ ملفات تثبيت نظام (OSSEC)‏ إلى دليل مؤقت» وفك ضغط الملف وابدأ عملية التثبيت. 


[alice?sunshine -]f cp /opt/book/con- 
trols/packages/ossec-hids-2.7.targz / 
tmp/. 

[alice?sunshine ~]# cd /tmp 
[alice?sunshine /tmp]£ tar zxvf ossec- 
hids-2.7.tar.gz 

[alice sunshine /tmp]£ cd ossec-hids-2.7 
[alice sunshine /tmp/ossec-hids-2.7 ]# ./ 
install.sh 


** Para instalacáo em portugués, escolha [br]. 


< RRM PLETER, WEE]. 
** Fur eine deutsche Installation wohlen Sie [de]. 

** ELA EYKATÁOTAONOTAEAANVIKÁ, تع نامع‎ [el]. 
** For installation in English, choose [en]. 


** Para instalar en Español, eliga [es]. 

** Pour une installation en français, choisissez [fr] 

** A Magyar nyelvü telepítéshez válassza [hu]. 

** Per l'installazione in Italiano, sce- gli [it]. 

AR KETI YA hwl T. ERLT ع‎ & lp]. 

** Voor installatie in het Nederlands, kies [nl]. 

** Aby instalowaC w jezyku Polskim, wybi- erz [pl]. 

xx [yin MHCTpyKUMģ NO yCTAHOBKe Hà pyCCKOM, BBEAMTE [ru], 
** Za instalaciju na srpskom, izaberi [sr]. 

** Türkçekurulum için seçin [tr]. (en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/ 
sr/tr) [en]: en 
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OSSEC HIDS 72.7 Installation Script - 
http://www.ossec.net 
You are about to start the installation 
process of the OSSEC HIDS. 
You must have a C compiler pre-installed 
in your system. 
If you have any questions or comments, 
please send an e-mail to dcid&ossec.net 
(or daniel.cidegmail.com). 
- System: Linux sunshine.edu 2.6.32- 
279.2.1.e16.1686 
- User: root 
- Host: sunshine.edu 
-- Press ENTER to continue or Ctrl-C to 
abort. -- 
1- What kind of installation do you want 
(server, agent, local, hybrid or help)? 
local 
- Local installation chosen. 
2- Setting up the installation environment. 
- Choose where to install the OSSEC HIDS 
[/var/ossec]: /var/ossec 
- Installation will be made at /var/ 
Ossec. 


3- Configuring the OSSEC HIDS. 


3.1- Do you want e-mail notification? 
(y/n) [y]: y 
- Whats your e-mail address? root 
localhost 


- We found your SMTP server as: 127.0.0.1 
- Do you want to use it? (y/n) [y]: y 
--- Using SMTP server: 127.0.0.1 
3.2- Do you want to run the integrity 
check daemon? (y/n) [y]: y 
- Running syscheck (integrity check 
daemon). 
3.3- Do you want to run the rootkit detec- 
tion engine? (y/n) [y]: y 
- Running rootcheck (rootkit detection). 
3.4- Active response allows you to exe- 
cute a specific 
command based on the events received. 
For example, 
you can block an IP address or dis- 
able access for 
a specific user. 
More information at: 
http://www.ossec.net/en/manual. 
html£active-response 
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- Do you want to enable active response? 
(y/n) [y]: n 

- Active response disabled. 

3.6- Setting the configuration to analyze 

the following logs: 

-- /var/log/messages 

-- /var/log/secure 

-- /var/log/maillog 

-- /var/log/httpd/error log (apache log) 

-- /var/log/httpd/access log (apache log) 

- If you want to monitor any other file, 
just change 
the ossec.conf and add a new localfile 
entry. 
Any questions about the configuration 
can be answered 
by visiting us online at http://www. 
ossec.net. 

--- Press ENTER to continue --- 

- System is Redhat Linux. 

- Init script modified to start OSSEC 
HIDS during boot. 

- Configuration finished properly. 

- To start OSSEC HIDS: 

[var/ossec/bin/ossec-control start 
- To stop OSSEC HIDS: 
[var/ossec/bin/ossec-control stop 


- The configuration can be viewed or mod- 


ified at /var/ossec/etc/ossec.conf 
Thanks for using the OSSEC HIDS. 
If you have any question, suggestion or 
if you find any bug, 
contact us at contact(2ossec.net or using 
our public maillist at 
ossec-list&ossec.net 

( http://www.ossec.net/main/support/ ). 
More information can be found at http:// 
Www.Ossec.net 

--- Press ENTER to finish (maybe more 

information below). --- 
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يمكنك الآن تشغيل نظام (OSSEC)‏ باستخدام الأمر الموضح أعلاه. لكن قبل ذلك يجب 
تعديل أحد خيارات التهيئة حيث يتم افتراضياً تشغيل فحص نظام (OSSEC)‏ كل ۲۲ 
ساعة. وهذا لا بأس به للاستخدام العادي. لكن سنحتاج إلى تشغيل هذه العمليات أكثر 
من ذلك في هذه التمارين. ستحتاج إلى فتح الدليل التالي في محرر نصي var /ossec/ etc//)‏ 
(ossec. conf‏ ومن ثم تغيير القيمة في سطر VV‏ من * VAY‏ (تحويل ۲۲ ساعة إلى ثوان) 
إلى ٠٠١‏ وبعد ذلك تقوم بحفظ التغييرات. لاحظ أن ملف (ossec. conf)‏ يمكن عرضه 
وتعديله فقط بواسطة الجذر. وعند تسجيل دخولك كجذرء قم بتعديل ال ملف باستخدام 
امحر ر النصي (Gnome Text Editor)‏ (شكل .(A-3‏ 


alicegsunshine etc]# gedit /var/ossec/ 


etc/ossec.conf 


ولتفعيل أرقام السطور في المحرر النصي (Gnome)‏ اختر ملف (File‏ € خيارات 


(Display line numbers) وقم بتمكين خانة الاختيار ل «عرض أرقام السطور»‎ (Preferences) 


«1-- Frequency that syscheck is executed 
- default to every 22 hours > 


«frequency»300«/frequency» 





وسيؤدي هذا التعديل إلى تشغيل فحص نظام JS (OSSEC)‏ 0 دقائق بدلا من ۲۲ 
ساعة. وبعد القيام بهذا التعديل يمكنك الآن تشغيل خادم (OSSEC)‏ قم بحفظ التغييرات 
ومن ثم إنهاء المحرر النصي (Gnome)‏ ثم ارجع إلى موجه النافذة الطرفية. 
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الشكل :(A-3)‏ دليل (var /ossec/ etc/ ossec. conf/)‏ (بعد التعديل) 


*ossec.conf (/var/ossec/etc) - gedit 





File Edit View Search Tools Documents Help 
Ea open v sve ك‎ Undo f^ MM FR 


*ossec.conf X 


65 «include-ossec rules.xnl</inc lude> 

66 <include>attack rules. xml</include> 

67 <include>openbsd rules.xml«/include» 

68 «include»clam av rules.xml«/include» 

69 *«include»bro-ids rules.xmle/include» 

78 «include»dropbear rules.xmi«/include» 

71 «include»local rules.xmlc/include» 

72  «/rules» 

73 B 

74  «syscheck» 

75 «!-- Frequency that syscheck is executed default to every 22 hours > 3 

76 <f requency>300k/ f requency> 5 

77 

78 <! Directories to check (perform all possible verifications) > 

79 «directories check alls"yes*»/etc,/usr/bin, /usr/sbin«/directories» 

860 «directories check all-*yes*»/bin,/sbine/directories» 

81 

82 <t-- Files/directories to ignore --» 

83 «ignore»/etc/ntabc/ignore» 

84 «ignore»/etc/mnttabe-/ignore» 

85 «ignore»/etc/hosts.deny«/ignore» 

86 «ignore-»/etc/mail/statistics«/ignore» 

87 *«ignores/etc/random-seede/ignores 

88 «ignore»/etc/aditime«/iqnore» 5 
Piain Text v Tab Width: 8 v Ln 76, Col 19 INS 





[alice8sunshine ossec-hids-2.7]f /var/ 


ossec/bin/ossec-control start 





الآن البرامج المكونة لنظام (OSSEC)‏ تعملء ويمكنك عرض سجل نظام (OSSEC)‏ من 
خلال الدليل (/108. .(var/ossec/logs/ossec‏ ويقدم لك هذا السجل تفاصيل بالملفات 
التي يقرؤها نظام (OSSEC)‏ أثناء بدء التشغيلء كما يعرض لك نتائج تنفيذ البرامج في 
نظام .(OSSEC)‏ وعند اكتشاف نظام (OSSEC)‏ أي حالة تكون خطيرة من جهة أمنية 
فإنه يتم تسجيل التفاصيل في الدليل .(var /ossec/logs/alerts/alerts. conf/)‏ لکن 
مخرجات نظام (OSSEC)‏ عبارة عن كميات كبيرة من المعلومات» وعرض تلك المعلومات 
من خلال تصفح السجل ليس بالأمر السهل. وف LEL‏ فإن حزمة (OSSEC-WebUI)‏ 
وهي واجهة معتمدة على الشبكة, تقدم طريقة أسهل بكثير للبحث ولعرض تنبيهات 
السجل (الشكل 3-3( 

وخلافاً لحزمة نظام (OSSEC)‏ الرئيسيةء فإن حزمة (OSSEC-WebUI)‏ لا تتضمن 
النص البرمجي الخاص بالتثبيت» ومن ثم فإن هذه الحزمة تحتاج إلى مزيد من الجهد 
لإعداد التهيئة. 
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[root?sunshine]f cd /home/shared/busi- 
ness finance/information technology/ 
website/main 

[root?sunshine main]f cp /opt/book/con- 
trols/packages/ossec-wui-0.3.tar.gz . 

[rootQ sunshine main]£ tar zxvf ossec-wui- 
0.3.tar.gz 

[root?sunshine main]f mv ossec-wui-0.3 


0552 


[root&'sunshine main]# groupmems -g ossec 


-a apache 

[root@sunshine main]£ chmod 777 /tmp 
[root?sunshine main]t chmod 770 /var/ 
ossec/tmp 

[root&sunshine main] chgrp apache /var/ 
ossec/tmp 

[root?sunshine main]£ service httpd 


restart 





ويُفترض الآن أن تكون قادراً على الوصول إلى واجهة (OSSEC-WebUI)‏ عن طريق 
فتح متصفح الشبكة وزيارة موقع (http://sunshine.edu/ossec)‏ 


ولاختبار أن نظام (OSSEC)‏ يعمل بشكل صحيح» ستقوم OVI‏ بتطبيق بعض الطرق 
التي يُستخدم فيها نظام (OSSEC)‏ ممراقبة الحوادث الأمنية المحتملة. 
مراقبة تكامل الملفات: 

يقوم برنامج مراقبة تكامل الملفات في نظام (OSSEC)‏ بالكشف عن التغييرات في 


ملفات النظام وينبهك عند حدوثها. ويمكن أن يحدث ذلك بسبب هجوم خارجيء أو 
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إساءة استخدام من مستخدم داخلي» أو حتى بسبب خطأ مطبعي من قبل أحد المسؤولين. 
ولمحاكاة إحدى الهجمات التي تقوم بتعديل ملفات النظام» ستقوم بتعديل أحد الملفات 
وستعرض النتائج في نظام (OSSEC-WebUI)‏ 


الشكل )3-9(: واجهة نظام (OSSEC-WebUI)‏ 


O ج095‎ z 
206017 


Main Search Integrity checking Stats About rel 


Available agents: Latest modified files: 


Latest events 


2013 Feb 06 19:33:16 Rule Id: 533 level: 7 
Location: sunshine-»netstat tan grep LISTEN grep -v 127.0.0.1 | sort 
Sre IP: utput netstat -tan [grep LISTEN [grep -v 127.0.0.1 | sort 
Listened ports status (netstat) changed (new port opened or closed). 
tpe 0000" LISTER 








.١‏ عدل محتويات الدليل التالي (/ (etc/hosts‏ للتطابق مع ما يلي: 


127.0.0.1 sunshine.edu localhost hacked. 


sunshine.edu 


zl sunshine.edu localhost 





۲. انتظر ه إلى ٠١‏ دقائق لأن اختبار تكامل الملفات يعمل JS‏ خمس 355« لكن قد 
يستغرق بعض الوقت لاستكمال العملية لذا من الأفضل الانتظار لبضع دقائق للتأكد 
من JUS]‏ عملية qul‏ 


أمن المعلومات وإدارة مخاطر تقنية المعلومات oW‏ 





الفصل التاسع 


(Integrity checking) واختر علامة التبويب‎ (OSSEC-WebUI) افتح نظام‎ .Y 
معرفة تفاصيل حول هذا الملف.‎ (etc/hosts/) انقر على علامة الجمع المجاورة لدليل‎ .٤ 
خذ لقطة من الشاشة لهذه الصفحة وقم بتسليمها لأستاذ المادة.‎ .0 


مراقبة السجل: 
يقوم نظام (OSSEC)‏ بتجميع وتحليل وربط سجلات متعددة من نظام لينكس وذلك 
لإخبار المستفيد ما يحدث. ولتطبيق ذلك ستقوم ببعض مهام إدارة النظام الشائعة التي 
تنتج رسائل تدقيق کن تتبعها بنظام (OSSEC)‏ ومن ثم عرض النتائج. 
N‏ قم بتشيت حزمة (zsh)‏ باستخدام مدير الحزم YUM)‏ 
.Y‏ قم بإنشاء مستخدم جديد 
اسم المستخدم: ossec-sample‏ 
الدليل الرئيسي: home/ossec-sample/‏ 


كلمة ال مرور: loSS3c‏ 
. افتح نافذة طرفية وقم بتشغيل الأمر التالي: 


[alice2sunshine - [9 ssh bob@sunshine.edu 


(bisforbanana) عند المطالبة بكلمة مرورء استخدم‎ .٤ 
باستخدام متصفح الإنترنت.‎ (OSSEC-WebUI) افتح نظام‎ .0 
عمليات المسح.‎ (OSSEC) دقائق حتى يكمل نظام‎ ٠١ إلى‎ o انتظر‎ .1 


۷. قم بمراجعة التنبيهات الأخيرة التي التقطها نظام (OSSEC)‏ وحدد تلك التنبيهات 
المتعلقة بالأحداث الثلاثة أعلاه. 


6. قم بنسخ ولصق بيانات كل حدث في مستند وورد. 
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النتائج المطلوب تسليمها: قم بتسليم المستند الذي يحتوي على نتائج نظام (OSSEC)‏ 
إلى أستاذ المادة. 


تمرين التفكير النقدي - ضوابط أمنية تتعدى الإطار البشري: 

في شهر نوفمبر من عام Y Y‏ اقترحت بعض البحوث الأسترالية أنه بالإمكان استخدام 
الضوابط الأمنية بطرق مثيرة للاهتمام خارج العام البشري للتعامل مع المشكلات الفريدة 
في الحفاظ على الحياة البرية. على سبيل JAI‏ طائر الوقواق البرونزي يضع بيضه في عش 
طائر النمنمة على آمل أن يترك واجبات الاهتمام بصغاره إلى طائر النمنمة الغافل بسبب أن 
بيض هذين النوعين من الطيور متشابه إلى حد كبير مما يتيح القيام بهذه الحيلة. 

من وجهة نظر طائر النمنمة فإن المشكلة ف الواقع أسوأ من ذلك بكثير. فبيض طائر 
الوقواق يفقس قبل بيض طائر النمنمة بثلاثة أيام, أي W‏ يوم في مقابل VO‏ يوم. وبمجرد 
خروج e$‏ الوقواق من البيض uil‏ تدفع بيض طائر النمنمة إلى خارج العش. ودون 
وجود آلية اكتشاف فعالة. فإن طائر النمنمة المتضرر قد ينتهي به الأمر إلى إطعام فراخ 
الوقواق السيئة التي حطمت بيضه. 


وبينما يكون طائر النمنمة غير قادر على فعل الكثير gib‏ تدمير بيضه» إلا أنه قد وضع 
آلية (وسيلة ضبط) لتجنب إطعام طائر الوقواق. بعد eli ٠١‏ من وضع طائر النمنمة 
للبيض lus‏ الأم بالغناء لأجنتها التي لا تزال في بيضها. وبعد خروجها من بيضها فإنه من 
المتوقع أن تدرج الفراخ الإيقاعات المميزة للأغنية أثناء طلبها للطعام. فإذا لم تسمع الأم 
الإيقاعات المميزة للأغنية فإنه سيتم التخلي عن تلك الفراخ. وتحصل أجنة طائر النمنمة 
على o‏ أيام لتعلم الإيقاعات المميزة للأغنية في حين تحصل أجنة طائر الوقواق على يومين 
فقطء وهي فترة غير كافية لتعلم الإيقاعات المميزة للأغنية. إن نسبة نجاح هذا الاختبار في 
الكشف عن الطائر الشرير قرابة (2E)‏ (شكل .)٠١-95‏ 
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الشكل :)٠١-5(‏ طائر النمنمةء معدل نجاح الضوابط الأمنية يصل إلى "6٠‏ 


m. 
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أسئلة على تمرين التفكير النقدى: 
.١‏ من بين الضوابط الأمنية التي ناقشناها في هذا الفصلء أي الضوابط يشبه إلى حد 
كبير وسيلة الضبط اممستخدمة من قبل أنثى طائر النمنمة في اكتشاف المخادعين؟ 


اط Roads sul‏ مق قبل ilic. T‏ الع نوو عقو la leg)‏ 
يوجد بعض الضوابط الأبسط التي تتحدث عن نفسها. هل بإمكانك أن تذكر 
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تصميم حالة: 
طلب منك أن تقوي الجانب الأمني لآلة (CentOS)‏ لأحد أعضاء هيئة التدريس. وهذا 
العضو قد حصل على منحة كبيرة من الحكومة الاتحاديةء وهذه المنحة تتطلب استخدام 
آلة (CentOS)‏ لتحليل بعض البيانات. ass‏ النتائج بيانات مقيدة لذا يعد الوصول لجهاز 
الحاسب الآلي مقيدا el ER‏ لتب ميا كد aS‏ ستقوم بذلك لذا قمت ببعض البحث. 
وبعد القيام بالبحث على شبكة الإنترنت» وجدت البنود isadi‏ من ١‏ إلى à‏ أدناه. 
اكتب الإجراءات المحددة (مجموعة الأوامر وتفاصيل الملفات) التي ستستخدمها لتنفيذ 
هذه التغييرات بحيث ممكنك تكرارها على أجهزة أخرى حسب الحاجة. 
.١‏ قم بتغيير المنفذ الافتراضي ل (sshd)‏ من المنفذ (YY)‏ إلى ا منفذ (EEEE)‏ بهذا التغي 
البسيط سوف نتفادى أكثر المسوح الآلية الموجهة لاقتحام الجهاز باستخدام SSH)‏ 
.Y‏ أضف مُعرف تسجيل الدخول لعضو هيئة التدريس (jamesc)‏ إلى مجموعة العجلة 
.(wheel group)‏ 
Y‏ قم بتعطيل تسجيل دخول (SSH)‏ كجذرء وذلك لإجبار المستخدمين على استخدام 
أمر (sudo)‏ هذا الأمر يسمح للمستخدمين ا مدرجين في مجموعة العجلة برفع 
امتيازاتهم وتنفيذ الأوامر مثل مستخدم الجذر. 
.t‏ قم بتغيير معايير عمر كلمات ال مرور للمستخدم (jamesc)‏ وذلك لتنتهي خلال Te‏ 
daos‏ 
ولجعل الحد الأدنى لطول كلمات المرور ثمانية رموز. 
5. اذكر قواعد الجدار الناري واحتفظ بنسخة ورقية منها. 


أمن المعلومات وإدارة مخاطر تقنية ال معلومات oYY‏ 


الفصل التاسع 


تلميح: قد تجد ملفات التهيئة والأوامر التالية مفيدة: 


ovv 


٠ sshd config 
٠ login.defs 

٠ group 

e chage 

٠ system-auth 


e iptab 


أمن المعلومات وإدارة مخاطر تقنية المعلومات 


الفصل العاشر 
نظرة عامة: 


ناقشنا في الفصول السابقة بعض ell‏ الشائعة المرتبطة بإدارة النظام. في الفصل الثاني 
من هذا الكتاب بدأنا مقدمة حول دور مسؤول النظام» ثم ناقشنا في الفصول اللاحقة 
الضوابط التقنية المستخدمة في مكافحة التهديدات الأمنية والجهود المطلوبة عند حدوث 
اختراق أمني. 

في هذا الفصل سنناقش طريقة للتعامل مع المهام المعقدة, والمطلوبة لإدارة فعالة 
للنظام» والمتكررة في كثير من الأحيان. وتقدم «قشرة باش» (BASH shell)‏ وهي قشرة 
نظام التشغيلء آلية لإنشاء نص برمجي هو تطبيق مركب من عدة تطبيقات لسطور الأوامرء 
وذلك لإنجاز المهام المعقدة. في نهاية هذا الفصل يجب أن تعرف: 

(BASH) كيفية كتابة نص برمجي بسيط لقشرة نظام التشغيل‎ ٠ 

٠‏ استخدام polis‏ البرمجة الشائعة (المتغيرات» والحلقات» وغيرها). 

٠‏ كيفية التعامل مع تفاعل المستخدم. 

٠‏ كيفية استخدام أدوات نظام ينكس الشائعة لتحليل ومعالجة الملفات النصية. 


مقدمة: 

تعد المعرفة الأساسية بالبرمجة النصية لقشرة نظام التشغيل أمراً ضرورياً لكل من يريد 
استكمال مهام إدارة النظام الشائعة» أو تدقيق أمن النظام» أو تطبيق الكثير من الضوابط 
التي ناقشناها في الفصول السابقة. وتستخدم النصوص البرمجية لقشرة نظام التشغيل في 
أتمتة العمليات في نظام ينكس بدءا من تشغيل خدمات الشبكات عند بدء تشغيل ehl‏ 
ووصولاً إلى تهيئة بيئة قشرة نظام التشغيل التابعة للمستخدم أثناء تسجيل الدخول. ويمثل 


أمن المعلومات وإدارة مخاطر تقنية المعلومات ovv‏ 


الفصل العاشر 


هذا الفصل مقدمة للبرمجة النصية لقشرة نظام التشغيل. وللبدء في هذا الفصل سنقوم 
بإنشاء نصوص برمجية تكون أمثلة على الإجراءات والهياكل الشائعة الاستخدام في البرمجة 
النصية لقشرة نظام التشغيل. وفي الأجزاء ء اللاحقة من هذا الفصل سنقوم بدمج بعض هذه 
العناصر الشائعة لتوضيح أتمتة العمليات التي تستغرق وقتا طويلا جدا للقيام بها يدوياء أو 
تلك التي تحتاج إلى تكرارها في المستقبل. 


ما هو بالضبط النص البرمجي وكيف يختلف عن البرامج المكتوبة بلغات البرمجة الأخرى 
والتي قد تكون معروفة لديك مثل لغة الجافا (Java)‏ ولغة السي (0#)؟ الفرق الأهم 
بين النص البرمجي والبرنامج cogi‏ بلغات البرمجة الأخرى مثل الجافا هو أن النصوص 
البرمجية لا يجب تجميعها في ملف ثناني الصيغة ليتم تشغيلهاء إذ يتم تفسير النص البرمجي 
وتحويله إلى الصيغة الثنائية اللازمة في وقت التشغيل. وما أنه تم الاستغناء عن عملية 
التجميع في البرمجة النصية» فإن تطوير التطبيقات باستخدام لغة البرمجة النصية يكون 
بشكل عام أسرع من تطويرها باستخدام اللغات التي تعتمد على عملية التجميع. لكن 
قد يكون هناك تأثير في الأداء عند تنفيذ التعليمات البرمجية حيث يوجد العديد من لغات 
البرمجة النصية الشائعة مثل لغة (PHP)‏ ولغة (Python)‏ ولغة .(Ruby)‏ وبعكس 
البرامج النصية المكتوبة بهذه اللغات» فإن البرامج النصية لقشرة نظام التشغيل Y‏ تحتاج إلى 
برنامج مفسر لتحويل النص البرمجي إلى صيغة ثنائية. ويتم تفسير النص البرمجي لقشرة 
نظام التشغيل مباشرة بواسطة عملية قشرة نظام التشغيل» وهي قشرة (BASH)‏ في حالتنا 
هذه. إلا أنه هكن استخدام أي نوع من أنواع قشرة نظام التشغيل السائدة. 


لغة البرمجة النصية لنظام ويندوز (Windows Powershell)‏ 


منڏ الإصدار gv‏ لويندوز۷ )7 (Windows‏ قامت مايكرس وفت بإطلاق لغة برمجة نصية 
جديدة تدعى (Powershell)‏ والتي لا تحتوي على COSS‏ البرمجية التي سنناقشها في هذا 
الفصل فحسب بل تحتوي على أكثر من ذلك بكثير. وقامت مايكروسوفت بدمج وظائف لغة 
البرمجة النصية (Powershell)‏ في أنظمتها التشغيلية وذلك للسماح Job‏ النظام بالوصول 
العماي إلى أي وظيفية من وظائف ويندوز» سواء كانت تلك الوظيفة محلية أم على الأنظمة 
البعيدة. 


لن نقوم في هذا الكتاب بتغطية موضوع لغة البرمجة النصية (Powershell)‏ لكن لمزيد من 


المعلومات حول هذا ا موضوع. يمكن زيارة (Microsoft Script Center)‏ على الرابط التالي: 
http://technet.microsoft.com/scriptcenter‏ 





oye‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


البرمجة النصية لقشرة نظام التشغيا 


]13 كيف نكتب Lad‏ برمجياً لقشرة نظام التشغيل؟ النص البرمجي لنظام التشغيل في 
أبسط أشكله هو قائمة من الأوامر المحفوظة في ملف نصي والتي نستطيع تشغيلها من 
خلال استدعاء برنامج (BASH)‏ الموجود في سطر الأوامر: 


(/opt/book/scripting/backup v1) :١ قائمة‎ 


[alice? sunshine -]$ cat /opt/book/scripting/backup vl 
mkdir -p /tmp/backups 

cp -pr /home/alice/work /tmp/backups 

cd /tmp/backups/ 

zip -qr backup.zip work/ 

rm -rf /tmp/backups/work 


echo «Done Backing up the work directory» 


[alice sunshine ~]$ bash /opt/book/scripting/backup v1 
Done Backing up the work directory 

[alice?sunshine ~]$ ls /tmp/backups 

backups.zip 





وهذا يوفر عليك جهد إعادة كتابة قائمة من الأوامر في كل مرة تحتاج فيها إلى لإكمال 
المهمة. لكن من خلال إضافة سطر واحد إلى أعلى النص البرمجي ومن خلال تغيير أذونات 
الملف لجعله قابلا للتنفيذء نستطيع تحويل dB‏ الأوامر هذه إلى أمر قائم بذاته: 


أمن المعلومات وإدارة مخاطر تقنية المعلومات ovo‏ 


الفصل العاشر 


(/opt/book/scripting/backup v1) :Y قائمة‎ 


#! /bin/bash 

# This is a comment. 

* Lines starting with the pound sign (4) are ignored in BASH scripts 
# 

# This script copies and compresses files in /home/alice/work and 
# saves them to /tmp/backups/work 

mkdir -p /tmp/backups 

cp -pr /home/alice/work /tmp/backups 

cd /tmp/backups/ 

zip -qr backup.zip work/ 

rm -rf /tmp/backups/work 


echo «Done Backing up the work directory» 


[alice?sunshine ~]$ chmod 500 /opt/book/scripting/backup v2 
[alice sunshine ~]$ /opt/book/scripting/backup. v2 
Done Backing up the work directory 





الأمر (chmod)‏ يقوم بتعيين البت (bit)‏ القابل للتنفيذ لصاحب الملف» والبقية لن 
يكونوا قادرين على تنفيذ النص البرمجي. السطر الأول من هذا الإصدار للنص البرمجي 
(bin/bash/!#)‏ يُخبر نظام التشغيل ob‏ هذا ال ملف يجب إرساله إلى البرنامج المحدد 
للمعالجة. كما قمنا أيضا بإضافة ملاحظة على هذا النص البرمجي. إن أي سطر يبدأ بعلامة 
olè )#(‏ (مفسر باش) (BASH interpreter)‏ يقوم بتجاهله ومن ثم يعده ملاحظة أو 
تعليقا. وتساعد الملاحظات على توثيق كيفية عمل النص البرمجي خصوصا إذا كان المنطق 
المستخدم معقدا نوعاً ما. وتستطيع إضافة ملاحظة لشرح ما تقوم به عبارة معينة وتوضيح 
الناتج المتوقع منها. كما تسمح لك الملاحظات بإضافة معلومات daga‏ عن النص البرمجي 
مثل اسم الطبرمج وتاريخ آخر تعديل. 

وبمجرد إضافة هذا السطر إلى أعلى ا ملف النصيء تستطيع تعيين الأذونات لجعل 
الملف قابلاً للتنفيذ مما يؤدي إلى إنشاء تطبيق مخصص وجديد. وتستطيع استخدام هذه 


ov‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


البرمجة النصية لقشرة نظام التشغيا 


الخطوات لإنشاء نص برمجي لأي مجموعة من الأوامر التي تحتاج إلى تكرار على أساس 
منتظم. كما أن طول قائمة الأوامر ليس مهماء إذ هكن أن يكون لديك قائمة تحتوي على 
مائة أمر أو قائمة تحتوي على أمر واحد فقط. وعادة ما يكون من الجيد أن LES‏ نصوص 
برمجية لأمر واحد إذا كانت خيارات سطر الأوامر المتعددة مطلوبة لإنجاز المهمة كما هو 
الحال مع الأمر (curl)‏ والأمر (wget)‏ 


إعادة توجيه المخرجات: 

لقد Ul)‏ كيفية حفظ برامج متعددة في ملف نص برمجي alg‏ لكن هناك طريقة 
أخرى لدمج بعض برامج سطر الأوامر لتنفيذ مهام معقدة. ويمكن استخدام مخرجات الأمر 
الأول لتكون مدخلات للأمر الثانيء مما يؤدي إلى إنشاء ما يرقى إلى نص برمجي في سطر 
واحد. وهذا ممكن لأن هيكلة نظام ينكس تستخدم التيارات .(streams)‏ والتيار «ما هو 
إلا سلسلة من البايتات التي هكن قراءتها أو كتابتها باستخدام وظائف المكتبة البرمجية 
التي تخفي تفاصيل الجهاز المستخدم عن التطبيق البرمجي. والبرنامج نفسه مكنه الكتابة 
أو القراءة من وحدة طرفية» أو ملف» أو منفذ شبكة بطريقة مستقلة عن الجهاز باستخدام 
«cob Ul‏ وهناك ثلاثة أنواع من التيارات الموحدة للمدخلات والمخرجات: 

o‏ مدخلات موحدة desig (stdin)‏ على تقديم مدخلات من áo)‏ اممفاتيح. 

o‏ مخرجات موحدة (stdout)‏ وتعمل على عرض مخرجات الأوامر على الشاشة. 

ه الأخطاء الموحدة (stderr)‏ وتعمل على عرض رسائل الأخطاء على الشاشة. 

ويمكن إعادة توجيه تيارات المدخلات والمخرجات بسهولة في قشرة نظام التشغيل 
(BASH)‏ مما يسمح بقراءة المدخلات من الملف بدلا من لوحة المفاتيح» وإرسال واحد أو أكثر 
من تيارات ا مخرجات لبرنامج آخر كمدخلات» وحفظ ال مخرجات في ملف. ويربط عامل النقل 
(pipe operator) (|)‏ بين تيار (stdout)‏ لأحد البرامج بتيار (stdin)‏ لبرنامج آخر. Us‏ على 
ذلك سنذكر قائمة الأوامر في (user/bin/)‏ التي تحتوي على كلمة (gnome)‏ في اسم الملف: 
Shields, I. N.p. Web. 10 December 2012, «http://www.ibm.com/developerworks/library/l-‏ )1( 

Ipic1-v3-103-2/» 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات oV‏ 





الفصل العاشر 


[alice&sunshine -]$ Is -1 /usr/bin | grep gnome 


فعندما تقوم بتشغيل هذا الأمر سوف تتلقى نحو :8 ملفا نتيجة لهذا الأمر. ما 
الذي ستفعله إذا كنت ترغب في الحصول على النتائج الثلاث الأولى فقط؟ بإمكانك نقل 
المخرجات من أمر (grep)‏ إلى أمر آخر: 


alicegsunshine ~]$ Is -l /usr/bin | grep gnome | head -3 


-rwxr-xr-X. 1 root root 37070 Mar 20 2012 gnome-about 
-rWXI-Xr-x. 1 root root 88944 Jun 25 10:29 gnome-about-me 


-rwxr-xr-X. 1 root root 233664 Jun 25 10:29 gnome-appearance-properties 





عامل إعادة التوجيه )<( يُستخدم لإرسال المخرجات إلى ملف بدلا من عرضها على 
الشاشة. ويمكنك أيضا إلحاق البيانات إلى ملف موجود باستخدام عامل (>>): 


[alice@sunshine ~]$ ls -l /usr/bin | grep gnome | head -3 > /tmp/exam- 
ple.txt 

[alice? sunshine -]$ cat /tmp/example.txt 

-rwxr-xr-x. 1 root root 37070 Mar 20 2012 gnome-about 

-rwxr-xr-x. 1 root root 88944 Jun 25 10:29 gnome-about-me 

-rwxr-xr-x. 1 root root 233664 Jun 25 10:29 gnome-appearance-properties 
[alice? sunshine ~]$ ls -l /usr/bin | grep gnome | head -5 << /tmp/ 
example.txt 

[alice?sunshine ~]$ cat /tmp/example.txt 

-rwxr-xr-x. 1 root root 37070 Mar 20 2012 gnome-about 

-rWXr-xr-x. 1 root root 88944 Jun 25 10:29 gnome-about-me 

-rwxr-xr-x. 1 root root 233664 Jun 25 10:29 gnome-appearance-properties 


-rwxr-xr-x. 1 root root 37070 Mar 20 2012 gnome-about 


-rWxr-xr-x. 1 root root 88944 Jun 25 10:29 gnome-about-me 


-rwxr-xr-x. 1 root root 233664 Jun 25 10:29 gnome-appearance-properties 





OYA‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


البرمجة النصية لقشرة نظام التشغيا 


إن استخدام برامج صغيرة ومتعددة على التوالي بدلاً من استخدام تطبيق واحد 
ومعقد أمر أساسي في تصميم نظام ينكس. وقد لخص المطور الأساسي لنظام إعادة توجيه 
ا لمدخلات والمخرجات في ينكس» دوغ ماكلوري (Doug Mcllroy)‏ ذلك بهذه الطريقة: 
«هذه فلسفة نظام ينكس: كتابة برامج تقوم elab‏ شيء واحد لكنها تقوم به بالطريقة 
الصحيحة. كتابة البرامج التي تعمل معا. كتابة البرامج التي تتعامل مع التيارات النصية 


لأن ذلك يعد واجهة شاملة». 


معالجة النص: 

ولأن استخدام ومعالجة تيارات النصوص مهم la‏ لكتابة النص البرمجي لقشرة نظام 
التشغيلء سوف نقضي بعض الوقت للناقشة تطبيقات سطر الأوامر ا متخصصة في معالجة 
تيارات النصوص. وهذه الأوامر مع بعضها البعض تشبه إلى حد كبير «سكين الجيش 
السويسري» ioll‏ معالجة التيارات النصية لأنها jns.‏ كل شيء Jedes‏ من فرز الملفات 


ووصولاً لتحويل الحالات» كما أنها pala as‏ تقريباً في كل نص برمجي بغض النظر عن 


أمر القص :(Cut)‏ 

ستجد نفسك تتعامل غالباً مع بيانات عمودية تستخدم شكلاً من أشكال الفواصل» مثل 
علامة التبويب أو الفاصلة» وذلك لتحديد كل عمود في مجموعة البيانات. ويسمح لك 
أمر القص (cut)‏ بتحليل كل سطر في ملف البيانات ومن ثم استخراج عمود البيانات الذي 
تحتاج إليه فقط. 

وفي هذا المثال سنستخدم ملف جداول البيانات إكسل الذي يحتوي على بيانات مفصولة 
بفواصل (Comma-Separated Value) (CSV)‏ كما يحتوي على الحقول التالية: الاسم 
الأولء واسم AEI‏ واسم المستخدم» وعنوان البريد الإلكتروني. ويمكن استخراج البريد 
الإلكتروني لجميع المستخدمين من خلال ما يلي: 


(2) Peter, S. A Quarter-Century of Unix, Addison-Wesley, 1994 


أمن المعلومات وإدارة مخاطر تقنية المعلومات 0۹ 





الفصل العاشر 


[alice?sunshine ~]$ head -3 /opt/book/scripting/users.csv 
Ian, Cook,ian.cook,ian.cookGsunshine.edu 


Christine;Riggs,christine.riggs,christine.riggs?sunshine.edu 


Lindsay,Fishbein,lindsay.fishbein,lindsay.fishbeingsunshine.edu 


[alice? sunshine -]$ cut -d, -f4 /opt/book/scripting/users.csv 
ian.cookgsunshine.edu 
christine.riggs?sunshine.edu 


lindsay.fishbein&sunshine.edu 





كما نستطيع إرجاع الأعمدة المتعددة وتصفية ال مخرجات وذلك بدمج أمر (cut)‏ بأمر 
(grep)‏ 


[alice?sunshine ~]$ cut -d, -£1,2,4 /opt/book/scripting/users.csv 


grep john 


John;Jayavelu,john.jayavelu&sunshine.edu 


JenniferJohnson,jennifer.johnsongsunshine.edu 


John,Altierjohn.altier&sunshine.edu 





وكما ترى 438 تم استعادة العمود الأول والعمود الثاني والعمود quil JI‏ كما تم عرض 
السجلات التي تحتوي فقط على نص «john»‏ 


أمر الفرز (Sort)‏ 


أمر الفرز (sort)‏ يقوم ها يدل عليه مسماه-يقوم بفرز سطور الملف النصي: 


or.‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


البرمجة النصية لقشرة نظام التشغيا 


[alice?sunshine ~]$ cat /opt/book/scripting/words.txt 
eyes 

record 

explosive 

spice 

prison 

videotape 

leg 

ice 

magnet 


printer 


[alice?sunshine ~]$ sort /opt/book/scripting/words.txt 


explosive 
eyes 

ice 

leg 
magnet 
printer 
prison 
record 
spice 


videotape 





ونلفت الانتباه إلى أن ترتيب JI‏ 5 الافتراضي قائم على أساس البيانات النصية: لذلك 
يجب استخدام امفتاح à (n-)‏ حال فرز البيانات الرقمية: 


أمن المعلومات وإدارة مخاطر تقنية المعلومات ov‏ 


الفصل العاشر 


[alice sunshine ~]$ sort /opt/book/scripting/numbers.txt 
1 

1002 

1234567 


4 
8675309 
99 


[alice sunshine ~]$ sort -n /opt/book/scripting/numbers.txt 


1002 
1234567 
8675309 





أمر إزالة السطور المكررة :(uniq)‏ 

وبمواصلة الحديث عن الأوامر البسيطة التي يدل مسماها على وظيفتهاء فإن الأمر 
(uniq)‏ يقوم بإزالة السطور المكررة من ال ملف النصي. ويقوم الأمر (uniq)‏ بالبحث فقط 
في السطور المجاورة للعثور على التكرار لذا يجب في البداية فرز المدخلات. 


ovv‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


البرمجة النصية لقشرة نظام التشغيا 


[alice@sunshine ~]$ cat /opt/book/scripting/duplicates.txt 
apple 

banana 

orange 

orange 

kiwi 

banana 

kiwi 


apple 


[alice8sunshine ~]$ sort /opt/book/scripting/duplicates.txt | uniq 


apple 


banana 
kiwi 


orange 





أمر الاستبدال (tr)‏ 


يقوم الأمر (tr)‏ باستبدال قائمة محددة من الرموز بمجموعة أخرى من الرموزء أو يقوم 
بحذف تلك الرموز (d-)‏ من تيار ال مدخلات. ويمكن استبدال الحروف (y) (x)‏ و(2) 
بالحروف (b)s (a)‏ و(ء) عند وجودها في ملف نصي من خلال ما يلي: 


أمن المعلومات وإدارة مخاطر تقنية ال معلومات ovv‏ 


الفصل العاشر 


alice?sunshine ~]$ cat /opt/book/scripting/original.txt 


The quick brown fox jumps over the lazy dog. 


[alice?sunshine ~]$ cat /opt/book/scripting/original.txt | tr «abc» 


«Xy: Z2» 


The quizk yrown fox jumps over the Ixzy dog. 
[alice8sunshine ~]$ cat /opt/book/scripting/original.txt | tr -d 
«abc» 


The quik rown fox jumps over the lzy dog. 





4S‏ ,8 وبالعكس: 


alicegsunshine ~]$ cat /opt/book/scripting/original.txt | tr «[:lower:]» 


« [:upper:] » 


THE QUICK BROWN FOX JUMPS OVER THE LAZY DOG. 





وتعد المجموعات [upper:]s [:1ower:]‏ من مجموعات الرموزء وهي عبارة عن طريقة 
سريعة لتحديد جميع الحروف الصغيرة والكبيرة على التوالي. وللحصول على قائمة كاملة 
ممجموعات الرموزء انظر صفحة الأمر (tr)‏ في دليل الأوامر (man tr)‏ 


المتغير هو تمثيل لجزء من البيانات (رقم» اسم الملف. نصء وغيرها) محفوظ في ذاكرة 
جهاز الحاسب JYI‏ ولإنشاء متغير جديد نحتاج فقط إلى اسم المتغير والبيانات التي ilie‏ 
قيمة تلك البيانات. 


ort‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


البرمجة النصية لقشرة نظام التشغيا 


[alice?sunshine ~]$ myVariable-20 


[alice?sunshine ~]$ echo $myVariable 


20 





ولا يسمح بالمسافات بعد أو قبل علامة يساوي )=( عند تعيين قيمة المتغير. ولذلك OB‏ 
deus‏ العبارات التالية كلها ستكون خاطئة: 


[alice?sunshine ~]$ myVariable = 0 
[alice sunshine ~]$ myVariable -0 


[alice sunshine ~]$ myVariable- 20 





ويمكنك أيضا تعيين نص أو متغير آخر كقيمة للمتغير. 


[alice2sunshine -]$ hello2«Hello World» 
[alice2 sunshine -]$ world-$hello 
[alice8sunshine -]$ echo $hello 


Hello World 


[alice2sunshine ~]$ echo $world 


Hello World 





اغ Else‏ ديت ل dee olo ma‏ الوا salas uses elle as‏ 
الأمر باستخدام القوسين وعلامة الدولار $)(« والمعروفة باسم تمديد الأمر command)‏ 


(expansion 


أمن المعلومات وإدارة مخاطر تقنية ال معلومات oro‏ 


الفصل العاشر 


[alice8sunshine ~]$ now-$(date) 


[alice8sunshine ~]$ echo $now 


Wed Dec 19 10:41:40 EST 2012 





الجدول :)١-٠١(‏ العوامل الحسابية في قشرة نظام التشغيل (Bash)‏ 


اس | سه | ا 
كح اك لخ الك 


كما يمكنك أيضاً القيام بالعمليات الحسابية الأماسية للأعداد الصحيحة (أرقام من 
دون كسور) في قشرة نظام التشغيل (BASH)‏ وذلك باستخدام $) )) والتي تشير 
إلى التمديد الحسابي (arithmetic expansion)‏ ويوضح الجدول )١1-١١(‏ قائمة بالعمليات 
الحسابية التي يمكن القيام بها في قشرة نظام التشغيل (BASH)‏ 





o1‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


البرمجة النصية لقشرة نظام التشغيا 


[alice?sunshine ~]$ myVariable-20 


[alice?sunshine ~]$ myBigVariable-$(( $myVariable * 100 )) 


[alice?&sunshine ~]$ echo myBig Variable 
2000 
[alice?sunshine ~]$ echo $(( $myBigVariable + 1 )) 


2001 





الاقنباس :(Quoting)‏ 
وضع المتغير بين علامتي تنصيص )«( لا يؤثر à‏ استعماله. لكن استخدام علامة 
التنصيص ا مفردة (o)‏ يؤدي إلى استخدام اسم المتغير e‏ بدلا من استبدال قيمة المتغير. 


:(/opt/book/scripting/quoting) :Y قائمة‎ 


#! /bin/bash 
name-Alice 
echo «My name is $name and the date is $(date -96m-96d-96Y)» 


echo ‘My name is $name date is $(date 496m-96d-96 Y) 


[alice?sunshine ~]$ /opt/book/scripting/quoting 


My name is Alice and the date is 122012-19- 


My name is $name and the date is $(date +%m-%d-%Y) 





أمن المعلومات وإدارة مخاطر تقنية المعلومات ovv‏ 


الفصل العاشر 


وكما ترى فإن استخدام علامة التنصيص المفردة في السطر الثاني أدى إلى كتابة أسماء 
المتغير حرفياء في حين أن استبدال المتغير تم في السطر الأول. ولاحظ أيضاً أن التاريخ الحالي 
تم استبداله ب S(date &m-Xd-Z Y)‏ دون الحاجة إلى تعيين اسم المتغير. ويتم تشغيل 
الأوامر المتضمنة في )8 في كل مرة يتم التعرض لها في النص البرمجيء وبذلك يتم تحديد 
القيمة بشكل متجدد. 


متغيرات البيئة: 

بعض المتغيرات تُنشَأ UT‏ عند تسجيل الدخول أو عند البدء في نافذة طرفية جديدة. 
وهذه المتغيرات البيئية تحتفظ بقيم افتراضية وتحتفظ كذلك بتفضيلات افتراضية 
للمستخدم في الجلسة الحالية. ويمكن عرض قائمة بمتغيرات البيئة وقيم تلك المتغيرات 
باستخدام الأمر :(env)‏ 


[alice2sunshine -]$ env 
HOSTNAME*-sunshine.edu 
SHELL-/bin/bash 


USER-alice 


PATH-  (/usr/lib/qt-3.3/bin:/usr/local/bin:/usr/bin:/bin:/usr/local/ 


sbin:/usr/sbin:/sbin:/home/alice/bin 


PWD-/home/alice 


TERM-xterm 





do‏ النتائج سترى Bae‏ شاشات من البيانات» ومعظم تلك البيانات لها علاقة بالتطبيقات» 
لكن هناك بعض المتغيرات التي تستحق الذكر (الجدول .)7-٠١‏ 


o۲۸‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


البرمجة النصية لقشرة نظام التشغيا 


ويمكن استخدام هذه المتغيرات في سطر الأوامر تماما مثل المتغيرات العادية: 


alicegsunshine -]$ echo «My name is $USER and my current directory is 


$PWD» 


My name is alice and my current directory is /home/alice 





كما يمكننا الاستفادة من هذه المتغيرات في البرمجة النصية لقشرة نظام التشغيل. على 
سبيل «JULI‏ انظر القائمة )€( 


:(opt/book/scripting/env variable example) :€ قائمة‎ 


#! /bin/bash 
echo «Hello SUSER» 
echo «You are calling this program from $PWD» 


echo «Your home directory is $HOME» 





ولأن متغيرات البيئة UT S‏ بواسطة قشرة نظام التشغيل (BASH)‏ فسيكون لدينا 
مخرجات متجددة تعتمد على المستخدم الذي ينفذ النص البرمجي. وهنا تجد المخرجات 
عندما قامت أليس (Alice)‏ بتشغيل النص البرمجي: 


[alice?sunshine Desktop]$ /opt/book/scripting/env. variable example 


Hello alice 


You are calling this program from /home/alice/Desktop 


Your home directory is /home/alice 





وهنا تجد المخرجات عندما el‏ بوب (Bob)‏ بتشغيل النص البرمجي: 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات o۹‏ 


الفصل العاشر 


[bobésunshine tmp]$ /opt/book/scripting/env variable example 


Hello bob 
You are calling this program from /tmp 


Your home directory is /home/bob 





الجدول(١١-"):‏ قائمة بالمتغيرات البيئية الشائعة 


a‏ اسك 


قائمة بالأدلة (مفصولة بنقطتين متعامدتين) والتي ستقوم قشرة نظام 
التشغيل بالبحث فيها عند البحث عن أحد التطبيقات 





ويختلف المتغير (PATH)‏ عن متغيرات البيئة الأخرى التي ناقشناها. وبدلاً من 
استخدام المتغير (PATH)‏ بوصفه جزءاً من أحد الأوامرء فإن قيمة هذا المتغير تستخدم 
مباشرة من قبل قشرة نظام التشغيل (BASH)‏ فعندما يقوم المستخدم بإدخال أمر ماء 
مثلا إدخال فايرفوكس (firefox)‏ لبدء متصفح الشبكة, فإن قشرة نظام التشغيل (BASH)‏ 
تبحث عن هذا الأمر في كل دليل مدرج في (PATH)‏ على التوالي. وبإمكانك استخدام أمر 
(which)‏ ممعرفة كيفية القيام بهذا البحث عمليا: 


ot.‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


البرمجة النصية لقشرة نظام التشغيا 


[alice?sunshine ~]$ which firefox 
/usr/bin/firefox 


[alice?sunshine ~]$ which ThisProgramDoesNotExist 


lusr/bin/which: no ThisProgramDoesNotExist in (/usr/lib/qt- 


3.3/bin:/usr/local/bin:/usr/bin:/bin:/usr/local/sbin:/usr/sbin:/sbin:/ 


home/alice/bin) 





المتغيرات المدمجة: 


بالإضافة إلى متغيرات البيئة تحتوي قشرة نظام التشغيل (BASH)‏ على العديد من 
المتغيرات المفيدة. وهذه المتغيرات مجتمعة تدعى با متغيرات المدمجة. وتقدم المتغيرات 
المدمجة مجموعة واسعة من الوظائف الصغيرة بدءاً من الإفادة بنوع جهاز الخادم الذي 
يعمل ووصولاً لامتعادة آخر الأوامر صدوراً. وهناك العشرات من المتغيرات المدمجة التي 
يمكننا الاختيار من بينها (انظر دليل قشرة نظام التشغيل للحصول على قائمة كاملة)» لكن 
شوق تعمل ف هذا الكتاب (de‏ مجموعة ضغيرة مق لك اللتغيرات (الحدول'- 81): 


ويوضح النص البرمجي في القائمة )0( مثالا على كيفية استخدام هذه المتغيرات. 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات ogi‏ 


الفصل العاشر 
قائمة 0: :(opt/book/scripting/builtin variable example)‏ 


#! /bin/bash 

echo «This script is executing with process ID: $$» 
echo «OS: $OSTYPE Hardware: $MACHTYPE» 
echo «This is he current date and time:» 

date 

echo «The exit value from date was $?» 

echo «This command should fail:» 

ls -1 NoFile 

echo «The exit value was $?» 

echo «Wait 2 seconds» 

sleep 2 

echo «Here are 3 random numbers:» 

echo $RANDOM 

echo $RANDOM 

echo $RANDOM 

echo «Wait 3 seconds» 


sleep 3 


echo «This script has run for SSECONDS seconds» 





oY‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


البرمجة النصية لقشرة نظام التشغيا 


[alice?sunshine ~]$ /opt/book/scripting/builtin variable example 
This script is executing with process ID: 10380 
OS: linux-gnu Hardware: i386-redhat-linux-gnu 
This is the current date and time: 

Wed Dec 19 11:41:40 EST 2012 

The exit value from date was 0 

This command should fail: 

Is: cannot access NoFile: No such file or directory 
The exit value was 2 

Wait 2 seconds 

Here are 3 random numbers: 

10549 

319 

20535 

Wait 3 seconds 


This script has run for 5 seconds 


استعادة حالة الخروج لآخر الأوامر. وقيمة الصفر )+( تعني النجاح» في حين 


استعادة RT‏ التعريفي للنص البرمجي الذي يعمل حالياً. 


A MITES 


$OSTYPE‏ | استعادة نظام التشغيل المستخدم. 
استعادة الفترة الزمنية بالثواني والذي عمل خلالها النص البرمجي الحالي. 


E 


أمن المعلومات وإدارة مخاطر تقنية المعلومات ocr‏ 





الفصل العاشر 


الجمل الشرطية: 

استعرضنا في القسم السابق متغير؟$ ووضحنا استعادة قيمة الخروج من آخر الأوامر التي 
تم تشغيلها. ماذا لو كنت تريد أن تأخذ إجراء معيناً في حال نجاح الأمر )?$ يساوي *( وتريد 
أن تأخذ إجراء آخر في حال فشله؟ ومثل أي لغة برمجة أخرى فإن قشرة نظام التشغيل 
(BASH)‏ توفر تركيبات بإمكانها اختبار مجموعة من الشروط المعينة ومن ثم التصرف بناء 
على نتيجة الاختبار. 


الجملة الشرطية :(If/then)‏ 


أبسط شكل من أشكال الجمل الشرطية هو شكل .(if/then)‏ ويقوم الأمر (if)‏ بفحص 
قيمة الخروج لسلسة من تعبيرات المقارنة. فإذا كانت قيمة الخروج تساوي صفرا فإن 
الأوامر في مقطع (then)‏ يتم تنفيذها. ويمكن إنهاء التركيب بالكامل بواسطة الأمر (fi)‏ 


#! /bin/bash 
if [ «$USER» = «alice» ] 


then 


echo «Good Morning, Alice!» 





وإذا كان المستخدم الذي يشغل هذا النص البرمجي يحمل اسم ال مستخدم 
(alice) («SUSER» = «alice»)‏ فإنه يتم تنفيذ الأمر (echo)‏ أما إذا كان اسم المستخدم 
شيئا آخر فإن النص البرمجي ينتهي دون تنفيذ أي أمر. 

إن بناء الجملة الشرطية (if/then)‏ في قشرة نظام التشغيل (BASH)‏ يختلف نسبياً 
عن بناء الجمل الشرطية في معظم لغات البرمجة”". والخطأ الأكثر شيوعا عند كتابة جملة 
(Y)‏ قشرة نظام التشغيل (BASH)‏ تدعم تركيبات متعددة لجملة .if/then)‏ انظر الرابط التالي لمزيد من المعلومات: 

http://tldp.org/LDP/abs/html/testconstructs.html 


ott‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 





البرمجة النصية لقشرة نظام التشغيا 


(if/then)‏ في قشرة نظام التشغيل (BASH)‏ هو عدم فصل العناصر بمسافات. يجب وضع 
مسافة بين (if)‏ والأقواس الط مربعةء كما يجب وضع مسافة في عبارة المقارنة داخل الأقواس. 
ونجد أن العديد من لغات البرمجة الأخرى أكثر تسامحاً في استخدام المسافة. وفي حال عدم 
وضع مسافة في جملة (if)‏ فإن العبارة ستفشل ويؤدي ذلك إلى خطأ. 


if[»$USER» - «alice»] 


if [»$USER» = «alice»] 


if[ «$USER» = «alice» ] 





ونمة فرق آخر في استخدام الجملة الشرطية (if/then)‏ في قشرة نظام التشغيل (BASH)‏ 
مقارنة باللغات البرمجية الأخرى وهذا الفرق هو أن مقارنة العبارات النصية تستخدم عامل 
مقارنة مختلف )=( عن العامل المستخدم في المقارنة العددية (eq-)‏ كما في المثال أعلاه. 
والجدول التالي يوضح d£‏ بعوامل المقارنة مع أمثلة على استخداماتها. 


if [ $X -eq 5] مساو ل (عدد صحيح)‎ 
if SX -ne 3] 


E 





أمن المعلومات وإدارة مخاطر تقنية ا معلومات oto‏ 


الفصل العاشر 


الجملة الشرطية :(If/then/else)‏ 


في حال كنت تريد أن تتخذ إجراء معيناً إذا كانت العبارة الشرطية صحيحة وتريد أن 
تتخذ إجراء آخر إذا كانت العبارة الشرطية خاطئةء فإن عليك استخدام جملة If/then/)‏ 
.(else‏ وهذه الجملة مطابقة لجملة (If/then)‏ باستثناء الأمر الإضافي في مقطع (else)‏ 
والذي سيتم تنفيذه عند عدم استيفاء الشرط. وتوضح القائمة )1( opt/book/scripting/)‏ 
(number. guess v1‏ أدناه مثال أساسي على جملة .(If/then/else)‏ وسوف نقوم بالبناء 
على هذا JELI‏ الأساسي لتطوير تطبيقات أكثر تعقيدا في بقية هذا الفصل. 


:(opt/book/scripting/number guess vl) :1 قائمة‎ 


#! /bin/bash 
guess-2 
number-$(( ( $SRANDOM 96 100) + 1)) 
#Is the guess correct? 
if [ $guess -eq $number ] 
then 
echo «Correct Guess: The number is $number» 
else 
* Is the guess high? 
if [ $number -lt $guess ] 
then 


echo «Guess lower: The number is less than $guess» 


* Is the guess low? 
if [ $number -gt $guess ] 
then 


echo «Guess higher: The number is greater than $guess» 





06 أمن المعلومات وإدارة مخاطر تقنية المعلومات 


البرمجة النصية لقشرة نظام التشغيا 


ولأن (guess)‏ تساوي Y‏ في حين أن الرقم يساوي 0 فإن الجزء الأول من جملة (if/then)‏ 
سيكون Ulo‏ خاطئا (سوف نقوم بوضع تخمينات يمكن إضافتها من المستخدم لاحقا في هذا 
(Jail‏ وبناء على ذلك فإن الجزء الموجود في مقطع (else)‏ يتم Ulo‏ تنفيذه. ds‏ هذه 
ا مرحلة يقوم النص البرمجي بتنفيذ شيء b‏ نره سابقا: الجملة الشرطية المتداخلة. 

والجملة الشرطية المتداخلة هي جملة (if/then)‏ عادية بداخل جملة (if)‏ أو جملة (else)‏ 


if [ conditionl ] 
then 

echo «conditionl is true» 
else 


£Nested-if statement 


if [ condition2 ] 


then 


echo «condition2 is true» 


else 


echo «Neither condition is true» 





إذا كان الشرط الأول صحيحاً فإن جزء (else)‏ يتم تخطيه. والجملة الشرطية المتداخلة 
ez Y‏ تنقيذها أبدا حيث لا يتم تشغيل أي اختبار على الشرط الثاني. 'لكن إذا لم يكن الشرظط 
الأول صحيحاً فإن الجملة الشرطية المتداخلة يتم تنفيذها كما يتم اختبار الشرط الثاني. وفي 
النص البرمجي الخاص بتخمين الرقم «Mel‏ نجد أن (guess)‏ أقل من 0 لذا فإن الجزء الأول 
والثاني من الجملة الشرطية المتداخلة يعدان صحيحين» ومن ثم )عرض Guess higher:)‏ 
(The number is greater than 2‏ وهكننا تشغيل النص البرمجي لاختبار المخرجات: 


أمن المعلومات وإدارة مخاطر تقنية المعلومات otv‏ 


الفصل العاشر 


[alice&sunshine ~]$ /opt/book/scripting/number guess vl 


Guess higher: The number is greater than 2 





الجملة الشرطية :(if/then/elif)‏ 

الجملة الشرطية التي سنناقشها هي جملة .(if/then/elif)‏ وهذه الجملة هي صورة 
مختصرة لجملة (else if)‏ كما Uil‏ بديل للجملة الشرطية المتداخلة. وممكن كتابة المثال 
أعلاه باستخدام هذه الجملة الشرطية كما يلي: 


if [ conditionl ] 
then 
echo «conditionl is true» 
elif [ condition2 ] 
then 
echo «condition2 is true» 


else 


echo «neither condition is true» 





كما هكن إضافة مقاطع (elif)‏ متعددة لجملة Gf)‏ في حال اختبار JST‏ من شرطين. 
ومثالا على ذلك سنقوم بتحديث النص البرمجي لتخمين الأرقام كما يلي: 


OA‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


البرمجة النصية لقشرة نظام التشغيا 
قائمة )7(: :(opt/book/scripting/number guess v2)‏ 


#! /bin/bash 
guess-2 
number-$(( ( $RANDOM % 100 ) + 1)) 


#Is the guess correct? 


if [ $guess -eq $number ] 


then 
echo «Correct guess: The number is $number» 
* Is the guess high? 
elif [ $number -lt $guess ] 
then 
echo «Guess lower: The number is less than $guess» 
# Is the guess low? 
elif [ $number -gt $guess ] 
then 
echo «Guess higher: The number is greater than $guess» 


fi 





إن استخدام (elif)‏ بدلاً من الجملة الشرطية المتداخلة يجعل التعليمات البرمجية أقصر 
قليلا كما يجعلها أسهل في القراءة. ويمكننا تشغيل التعليمات البرمجية للتأكد من أنها 
ستؤدي إلى النتائج السابقة نفسها. 


[alice?sunshine ~]$ /opt/book/scripting/number guess v2 


Guess higher: The number is greater than 2 





أمن المعلومات وإدارة مخاطر تقنية ا معلومات 06 


الفصل العاشر 

إن قيم جميع المتغيرات في النصوص البرمجية التي ناقشناها إلى الآن تعد ضمنية ومثبتة 
حيث تم تحديدها في النص البرمجي» ومن ثم فإن الطريقة الوحيدة لتغيير قيم المتغيرات 
قيم يتم إدخالها من قبل المستخدم. وهناك طريقتان لقبول ال مدخلات من المستخدم: 
معاملات سطر الأوامرء وأمر القراءة (read)‏ 


معاملات سطر الأوامر: 


وبشكل مشابه للأوامر التي قمت بتنفيذها في النوافذ الطرفيةء فإن النصوص البرمجية 
لقشرة نظام التشغيل (BASH)‏ هكنها قبول معاملات البرامج. ويتم تخزين المعاملات 
بشكل آلي في متغيرات خاصة عند تنفيذ البرامج. ويتم تسمية هذه المتغيرات بأرقام حسب 
الترتيب الذي حصلت عليه المعاملات في سطر الأوامر: 


:(opt/book/scripting/user input exl) :(۸) قائمة‎ 


#! /bin/bash 
echo «Ihe first argument: $1» 
echo «Ihe second argument: $2» 


echo «Ihe third argument: $3» 


[alice?sunshine ~]$ /opt/book/scripting/user input ex1 42 «Hello World» 
Earth 
The first argument: 42 


The second argument: Hello World 


The third argument: Earth 





00° أمن المعلومات وإدارة مخاطر تقنية المعلومات 


البرمجة النصية لقشرة نظام التشغيا 


لاحظ أن المعامل الثاني يتكون من كلمتين («Hello World»)‏ حيث إن علامات الاقتباس 
حول مجموعة من الكلمات تخبر قشرة نظام التشغيل ob (BASH)‏ هذه الكلمات عبارة 
عن معامل واحد. 

إذا كسا الآنقول Male‏ مق «alg das‏ لكو Cà;‏ ا aS tJ]‏ من Jl]‏ 
العدد الصحيح من المعاملات؟ تتضمن قشرة نظام التشغيل (BASH)‏ متغير خاص وهو 
)$4( والذي يقوم بحفظ مجموع عدد المعاملات المدخلة. وهذا المتغير يسمح باختبار 
عدد المعاملات المدخلة في مقابل عدد المعاملات المتوقع إدخالها ومن ثم طباعة رسالة خطأ 
عند فشل هذا الاختبار. 


(opt/book/scripting/user input ex2) :)9( قائمة‎ 


#! /bin/bash 
if [ 5# -eq 3 ] 
then 
echo «Ihe first argument: $1» 
echo «Ihe second argument: $2» 
echo «Ihe third argument: $3» 
else 
echo «Three arguments are required!» 


fi 


[alice?sunshine ~]$ /opt/book/scripting/user input ex2 42 Earth 


Three arguments are required! 





أمن المعلومات وإدارة مخاطر تقنية ا معلومات 00۱ 


الفصل العاشر 


قراءة مدخلات المستخدم: 

الخيار الآخر لأخذ مدخلات المستخدم بالاعتبار هو أمر (read)‏ والذي يقوم بإيقاف 
تنفيذ النص البرمجي حتى يقوم ا مستخدم بإدخال قيمة ماء ومن ثم يضغط على زر الإرجاع. 
ولتوضيح استخدام الأمر (read)‏ سنقوم بتحديث النصي البرمجي لتخمين الأرقام: 


:(opt/book/scripting/number guess v3) :(\ +) قائمة‎ 


#! /bin/bash 

Prompt for user input 

echo «Enter a number between 1 and 100 and press [ENTER]: » 
read guess 


number-$(( ( $RANDOM % 100 ) + 1)) 
#Is the guess correct? 
if [ $guess -eq $number ] 
then 
echo «Correct guess: The number is $number» 
* Is the guess high? 
elif ] $number -lt $guess ] 
then 
echo «Guess lower: The number is less than $guess» 
* Is the guess low? 
elif [ $number -gt $guess ] 
then 


echo «Guess higher: The number is greater than $guess» 


fi 


[alice?sunshine ~]$ /opt/book/scripting/number guess v3 
Enter a number between 1 and 100 and press [ENTER]: 15 
Guess lower: The number is less than 15 





ooY‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


البرمجة النصية لقشرة نظام التشغيا 


الحلقات: 

أحد أكثر الجوانب فائدة في البرمجة النصية لقشرة نظام التشغيل (BASH)‏ (وفي برمجة 
الحاسب الآلي بشكل (ele‏ هو القدرة على تخفيض الهام المتكررة إلى عدد بسيط من 
الأوامر. وبدلا من كتابة الأوامر المتشابهة نفسها مرارا وتكراراء فإن الحلقات تسمح لك 
بكتابة الأوامر التي ترغب في تنفيذها مرة واحدة وبعد ذلك تترك الأمر لقشرة نظام التشغيل 
لتكرار تلك الأوامر. وسوف نعمل على نوعين من الحلقات المتاحة في النص البرمجي لقشرة 
نظام التشغيل (BASH)‏ 


٠‏ حلقات (for)‏ وهذه الحلقات تقوم بتكرار الأوامر باستخدام قائمة من عناصر المدخلات. 
٠‏ حلقات odas (while)‏ الحلقات تقوم بتكرار الأوامر عندما يكون الشرط المعطى صحيحاً. 
œ‏ حلقات (for)‏ 


وهذه الحلقات هي الأبسط والأكثر استخداماً في النصوص البرمجية لقشرة نظام التشغيل 
(BASH)‏ وتقوم حلقة (for)‏ بتكرار عناصر القائمة بحيث يتم تنفيذ أي أمر موجود في 
الحلقة خلال كل دورة. وعندما تصل قشرة نظام التشغيل (BASH)‏ إلى الكلمة المفتاحية 


القائمة. والقائمة التالية مثال مبسط على الحلقات: 
قائمة (opt/book/scripting/for loop example) :)١١(‏ 


#! /bin/bash 
for var in «item1» «item2» «item3» 


do 


echo «Ihe current item is $var» 


More commands could be added here 


done 





وعند تشغيل هذا المثال سترى أن قيمة (var$)‏ تتغير مع كل دورة: 


أمن المعلومات وإدارة مخاطر تقنية المعلومات oov‏ 


الفصل العاشر 


alicegsunshine ~]$ /opt/book/scripting/for loop. examplel 


The current item is item1 


The current item is item2 


The current item is item3 





وبالإضافة إلى سرد كل عنصر في سطر الأوامرء فإنه مكنك استخدام مخرجات الأوامر 
كقائمة عناصر للتكرار من جديد. 


:(opt/book/scripting/for loop example2) :(1۲) قائمة‎ 


#! /bin/bash 
for word in $(head -3 /opt/book/scripting/words.txt) 
do 
echo «Original word: $word» 
echo «All uppercase: $(echo $word | tr [:lower:]? '[:upper:]')» 


done 


[alice sunshine ~]$ /opt/book/scripting/for loop example2 


Original word: eyes 

All uppercase: EYES 
Original word: record 
All uppercase: RECORD 
Original word: explosive 


All uppercase: EXPLOSIVE 





oog‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


البرمجة النصية لقشرة نظام التشغيا 


وكما ترى فإن أول ثلاثة سطور في ملف opt/book/scripting/words.txt) (eyes)‏ 
(record, explosive‏ استخدمت بصفة dd‏ عناصر للتكرار من جديد. الأمر الأول في الحلقة 
هو أمر بسيط وهو عبارة عن الأمر (echo)‏ والذي يقوم بعرض قيمة (Sword)‏ أما الأمر 
الثاني فهو أكثر تعقيداً حيث يُنقل في هذا الأمر قيمة المتغير (Sword)‏ إلى الأمر (tr)‏ ومن ثم 
does‏ الحروف الصغيرة إلى حروف كبيرة (echo Sword I tr «[:lower:] «[:upper:]»)‏ وبعد 
ذلك تعرض مخرجات هذا الأمر على الشاشة. 


فاصل الحقول الداخلية: 

عند قراءة مخرجات الأوامر في حلقات (for)‏ فإن قشرة نظام التشغيل (BASH)‏ 
تحدد الفواصل بين العناصر باستخدام متغير داخلي خاصء وهو (IFS$)‏ والذي يقصد به 
(internal field separator)‏ ويحتوي المتغير على 468 من الرموز التي تستخدم sgus‏ 
للحقول. وعندما يُعثر على أحد تلك ogol‏ يُنشَأ pais‏ جديد لحلقات .(for)‏ والقيم 
الافتراضية متغير (IFS$)‏ هي رموز المسافات (المسافة» والتبويب» والسطر الجديد)» لكن 
يمكن تغيير هذه القائمة لتحقق عدة أهداف منها على سبيل المثال تحليل EB‏ تستخدم 
الفواصلء أو تجاهل إحدى القيم الافتراضية كفاصل والسماح لها بأن تكون جزءاً من 
عنصر. 


أمن المعلومات وإدارة مخاطر تقنية المعلومات 000 


الفصل العاشر 
قائمة :(opt/book/scripting/ifs examplel) :(YY)‏ 


!# /bin/bash 
for line in $(tail -3 /etc/passwd) 
do 
echo $line 
done 
[alice?sunshine ~]$ /opt/book/scripting/ifs examplel 
russell.dacanay:x:1648:100: »Russell 
Dacanay 
(Staff-Library)»:/home/staff/russell.dacanay:/bin/bash 
daniel.saddler:x:1649:100: »Daniel 
Saddler 
(Staff-Student 


Services)»:/home/staff/daniel.saddler:/bin/bash 


russell.lavigne:x:1650:100: »Russell 


Lavigne 

(Staff-Academic 

Affairs 

VP 

Office)»:/home/staff/russell.lavigne:/bin/bash 
أدى إلى تقسيم سطور الملف‎ (IFSS) وكما ترى فإن استخدام القيم الافتراضية للمتغير‎ 
في منتصف العمود الخامس بسبب المسافة أو المسافات الموجودة في حقل‎ (etc/passwd) 
ليشمل فقط رمز السطر‎ (IFS$) النص. ولتعديل هذا الوضع سوف نقوم بضبط المتغير‎ 

.CnV$) الجديد‎ 





001 أمن المعلومات وإدارة مخاطر تقنية المعلومات 


البرمجة النصية لقشرة نظام التشغيا 
قائمة :(opt/book/scripting/ifs example2) :(Y€)‏ 


1 /bin/bash 
fChange IFS to the newline character only 
IFS-$"Y 
for line in $(tail -3 /etc/passwd) 
do 
echo $line 
done 
[alice?sunshine -]$ /opt/book/scripting/ifs examplel 
russell.dacanay:x:1648:100: »Russell Dacanay (Staff-Library)»: ١ 
/home/staff/russell.dacanay:/bin/bash 
daniel.saddler:x:1649:100: »Daniel Saddler (Staff-Student Services)»: V 


/home/staff/daniel.saddler:/bin/bash 


russell.lavigne:x:1650:100: »Russell Lavigne (Staff- Academic Affairs VP 


Office)»: V 


/home/staff/russell.lavigne:/bin/bash 





لاحظ أن الخط العكسي المائل )١(‏ في ا مخرجات أعلاه هو رمز لمتابعة السطرء والذي 
يستخدم في حال كون المخرجات طويلة جداً ولا هكن عرضها في سطر واحد. وإذا قمت 
بتشغيل النص البرمجي في آلة لينكس الافتراضية فإنك ستجد السطر وفيه خط عكسي مائل 
)\( وستجد ما بعده معروضاً في سطر واحد. 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات 00۷ 


التسلسلات: 

غالبا نا تحتاج إلى تنفيذ أمر ما لعدد محدد من المرات» أو تحتاج إلى استخدام سلسلة 
من الأرقام كمدخلات للحلقات. ومنذ الإصدار الثالث* لقشرة نظام التشغيل (BASH)‏ 
احتوت القشرة على قاعدة مدمجة لتوليد سلسلة من الأرقام كمدخلات للحلقات. وتكون 
سلسلة الأرقام محاطة بأقواس متعرجة H‏ {( كما تكون المعاملات مفصولة بنقطتين C)‏ 
ويمكن sU]‏ السلسلة إما باستخدام معاملين وإما بثلاثة معاملات» فإذا أعطي عاملان» فإن 
الأول هو متغير البداية والثاني هو متغير النهاية. وبعد ذلك يتم تنفيذ الحلقة باستخدام 
جميع الأعداد الصحيحة بدءا من متغيرة البداية وانتهاءً بمتغيرة النهاية. 


:(opt/book/scripting/sequence examplel) :)١0( قائمة‎ 


#!/bin/bash 
for number in {1..5} 
do 

echo $number 


done 


[alice@sunshine ~]$ /opt/book/scripting/sequence_example1 





)£( ولمزيد من المعلومات حول توليد المتسلسلات في الإصدارات السابقةء انظر أمر (seq)‏ في صفحات الدليل. 


00۸ أمن المعلومات وإدارة مخاطر تقنية المعلومات 





البرمجة النصية لقشرة نظام التشغيا 


ويمكنك أيضاً إضافة الأرقام عكسياً من خلال جعل الرقم الأكبر قيمة البداية والرقم 
الأصغر قيمة النهاية. 


:(opt/book/scripting/reverse sequence) :)١5( قائمة‎ 


#!/bin/bash 
for number in {10..1} 
do 

echo $number 


done 


[alice@sunshine ~]$ /opt/book/scripting/reverse_sequence 





وإذا تم إعطاء ثلاثة معاملات” فإن المعامل الثالث يحدد مقدار الزيادة بين كل الأرقام 
في هذه السلسلة. 
)0( يتوجب استخدام الإصدار الرابع من قشرة نظام التشغيل (BASH)‏ أو أعلى. 


أمن المعلومات وإدارة مخاطر تقنية المعلومات 604 





الفصل العاشر 
قائمة :(opt/book/scripting/sequence example3) :(YV)‏ 


&l/bin/bash 
for number in (1..10..2] 
do 

echo $number 


done 


[alice? sunshine ~]$ /opt/book/scripting/sequence example3 





لاحظ أن الرقم )٠١(‏ لم يكن من ضمن النتائج التي تم الحصول عليهاء وذلك oS‏ سلسلة 
الأرقام تحتوي على جميع الأرقام الأقل من أو يساوي قيمة النهاية. وها أن السلسلة تزيد ب 
(Y)‏ فإن الرقم التالي في السلسلة هو (VV)‏ لكن هذا العدد أكبر من قيمة النهاية وهي .)٠١(‏ 


التوقف والاستمرار: 

قد ترغب في ظل ظروف معينة في إيقاف معالجة الحلقة أو قد ترغب في التجاوز إلى 
الدورة التالية من الحلقة. الكلمات ال مفتاحية (continue) (break)‏ تعطيك القدرة على 
القيام بذلك. وتقوم الكلمة المفتاحية (break)‏ بإيقاف معالجة الحلقةء وتخطي الأوامر 
المتبقية في الدورة الحالية من الحلقةء وتخطي العناصر التبقية في قائمة المدخلات. لكن 
تنفيذ النص البرمجي لا يتم مقاطعته حيث يستمر في تنفيذ الأوامر بعد الحلقة. 


o1.‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


البرمجة النصية لقشرة نظام التشغيا 
قائمة :(opt/book/scripting/break example) :)١4(‏ 


#!/bin/bash 
for number in {1..5} 
do 
if [ $number -eq 4 ] 
then 
echo «Stop!» 
break 
fi 
echo «$number» 
done 


echo «This command runs AFTER the loop is complete.» 


[alice@sunshine ~]$ /opt/book/scripting/break_example 


Stop! 


This command runs AFTER the loop is complete. 





لاحظ أنه تمت معالجة الحلقة كما هو متوقع وذلك للأرقام الثلاثة الأولى من السلسلة. 
فعندما تم تحقيق الشرط (à‏ جملة ($number -eq4) (if)‏ فقد تم عرض كلمة (Stop!)‏ 
على الشاشة» وعندها تم الوصول إلى الكلمة المفتاحية (break)‏ ومن ثم ينتهي تنفيذ 
الحلقة. وفي مثال آخر سنقوم بتحديث النص البرمجي التابع لتخمين الأرقام وذلك لإعطاء 
ا مستخدم خمس فرص لتخمين الرقم ويتوقف إذا تم تخمين الرقم الصحيح. 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات 011 


الفصل العاشر 
قائمة :(opt/book/scripting/number guess v4) :)١9(‏ 


#! /bin/bash 
number-$(( ( RANDOM 96 100 ) + 1)) 
#Give the user 5 guesses 
for loop in (1..5] 
do 
* Prompt for user input 
echo «Enter a number between 1 and 100 and press [ENTER]: » 
read guess 
echo «» 
#15 the guess correct? 
if [ $guess -eq $number ] 
then 
echo «Correct guess: The number is $number» 
echo «You guessed it in $loop tries» 
break 
* Is the guess high? 
elif [ $number -lt $guess ] 
then 
echo «Guess number $loop» 
echo «Guess lower: The number is less than $guess» 
# Is the guess low? 
elif [ $number -gt $guess ] 
then 
echo «Guess number $loop» 
echo «Guess higher: The number is greater than $guess» 
fi 


end 


[alice@sunshine ~]$ /opt/book/scripting/number_guess_v4 
Enter a number between 1 and 100 and press [ENTER]: 15 


Guess number 1 
Guess lower: The number is lower than 15 
Enter a number between 1 and 100 and press [ENTER]: 3 


Guess number 2 
Guess higher: The number is higher than 3 
Enter a number between 1 and 100 and press [ENTER]: 5 


Correct guess: The number is 5 
You guessed it in 3 tries 





ow‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


البرمجة النصية لقشرة نظام التشغيا 


Ul‏ الكلمة المفتاحية (continue)‏ فتقوم بتجاوز الأوامر المتبقية في الدورة الحالية من 
الحلقة وتعمل على بدء دورة جديدة. وف اممثال التالي سنس تخدم ذات الرمز البرمجي 
لقائمة (VA)‏ لكن سنقوم باستخدام الكلمة المفتاحية (continue)‏ بدلا من الكلمة المفتاحية 
(break)‏ 


:(opt/book/scripting/continue example) :(Y*) قائمة‎ 


#!/bin/bash 
for number in {1..5} 
do 
if [ $number -eq 4 ] 
then 
echo «Stop!» 
continue 
fi 
echo «$number» 


done 


echo «This command runs AFTER the loop is complete.» 


[alice@sunshine ~]$ /opt/book/scripting/continue_example 





ويعمل هذا الأمر بعد اكتمال الحلقة. 


أمن المعلومات وإدارة مخاطر تقنية المعلومات ow‏ 


الفصل العاشر 


لاحظ الفرق بين مخرجات هذا النص البرمجي وبين مخرجات النص البرمجي في قائمة 
(VA)‏ تمت معالجة دورات الثلاث الأولى مرة أخرى كما هو متوقع» كما تم تحقيق شرط 
جملة 10) في الدورة الرابعة. لكن وبدلاً من الخروج من الحلقةء تم الاستمرار في الدورة 
الخامسة (والأخيرة) من الحلقة. 


حلقات :(while)‏ 
بدلا من العمل على قائمة من العناصر كما هو الحال في حلقات (for)‏ فإن حلقات 
(while)‏ تستمر في العمل حتى يتم تحقيق شرط معين. وقبل البدء في دورة الحلقة يتم 
اختبار الشرط. فإذا كان الشرط صحيحا فإنه يتم تنفيذ الأوامر داخل الحلقة. أما إذا كان 

خاطئا فإنه يتم تجاوز الحلقةء ويتم تنفيذ ما تبقى من النص البرمجي. 


:(opt/book/scripting/while loop examplel) :)؟١( قائمة‎ 


#! /bin/bash 
counter-1 
while [ $counter -le 5 ] 
do 
echo $counter 
$(( counter-$counter + 1 )) 
done 


[alice sunshine ~]$ /opt/book/scripting/while loop. examplel 
1 





وكما ترى فإن مخرجات هذا الأمر مشابهة لمخرجات بعض أمثلة الحلقات التي عرضناها 
VERD‏ لكن هناك اختلافات رئيسية في النص البرمجي نفسه. الفرق الأول الذي ستلاحظه 
أنه ues‏ عكس استخدام حلقات (for)‏ فقد قمنا بتحديد القيمة الأولية ممتغير العداد 
(counter)‏ قبل تنفيذ الحلقة. 


ع0 أمن المعلومات وإدارة مخاطر تقنية المعلومات 


البرمجة النصية لقشرة نظام التشغيا 


عندما تصل قشرة نظام التشغيل (Bash)‏ إلى جملة (while)‏ يتم اختبار القيمة 
الحالية للعداد. فإذا كانت أقل من أو تساوي 0 فإنه يتم تنفيذ الأوامر الموجودة Jl»‏ 
الحلقة. وعند ذلك يتم عرض القيمة الحالية للعداد على الشاشة ومن ثم يتم زيادتها 
بواحد ) (S((counter-$counter*1))‏ وعند هذه النقطة يتم اختبار قيمة العداد مرة 
ثانية وإذا كانت قيمته أقل من أو تساوي O‏ فإن الحلقة تستمر. 

وعند LLS‏ نص برمجي قد تحتاج لإنشاء حلقة لا نهائية» وهي حلقة تستمر حتى يقوم 
المستخدم بإنهائها. وعادة تستخدم الحلقة اللانهائية عند الرغبة في مراقبة شيء ما على 
فترات منتظمة مثل حجم «CALI‏ أو عدد ال مستخدمين الذين قاموا بتسجيل الدخول. ويمكن 
إنشاء الحلقة اللانهائية عن طريق إنشاء حلقة (while)‏ تكون فيها نتيجة اختبار الشرط 
Lilo‏ صحيحة. وتوضح قائمة (YY)‏ مثالاً على استخدام حلقة لا نهائية لمراقبة حجم ملف 
السجل .(var/log/httpd/access log/)‏ ومع كل دورة يتم عرض كل من وقت فحص 
املف وحجم ملف السجل على الشاشة. وسيستمر النص البرمجي حتى يقوم ا مستخدم 
بالخروج منه إما عن طريق الضغط على مفتاحي (CTRL)‏ و(0) معا أو عن طريق إغلاق 
النافذة الطرفية التي يعمل فيها النص البرمجي. 


أمن المعلومات وإدارة مخاطر تقنية المعلومات 010 


الفصل العاشر 
قائمة :(opt/book/scripting/while loop example2) :(YY)‏ 


#! /bin/bash 
echo «This script will loop forever. Hit Control-C (CTRL+C) to exit.» 
while [ true ] 
do 
sleep 2 
echo «» 
date 
echo «$(wc -1 /var/log/httpd/access log)» 
done 


[alice?sunshine-]$ /opt/book/scripting/while loop. example2 
This script will loop forever. Hit Control-C (CTRL+C) to exit. 


Fri Jan 4 08:11:00 EST 2013 
7 Ivar/log/httpd/access log 


Fri Jan 4 08:11:02 EST 2013 
7 Ivar/log/httpd/access log 


Fri Jan 4 08:11:04 EST 2013 
8 /var/log/httpd/access log 


Fri Jan 4 08:11:06 EST 2013 
9 /var/log/httpd/access log 





ويمكن اختبار هذا النص البرمجي وذلك بزيارة الموقع الإلكتروني http://www.)‏ 
(sunshine.edu‏ وذلك بعد تشغيل النص البرمجي. وستلاحظ أن عدد الإدخالات في ملف 


نظرة dole‏ لما سبق: 

لقد استعرضنا فيما سبق الأجزاء الأماسية للنص البرمجي لقشرة نظام التشغيل. الآن 
نستعرض نص برمجي يستخدم العديد من تلك الأجزاء وذلك لأتمتة إحدى العمليات لجميع 
مستخدمي النظام. وتحتوي آلة لينكس الافتراضية المستخدمة في هذا الكتاب على أكثر 
من ٠٠٠١‏ حساب والتي تعد كثيرة جداً ويصعب دعمها logos‏ ويقوم هذا النص البرمجي 
باستخراج المعلومات الهامة لكل حساب كما يقوم بعرضها بشكل يمكن قراءتها بسهولة. 


ow‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


البرمجة النصية لقشرة نظام التشغيا 
قائمة :(opt/book/scripting/user info) :(YY)‏ 


#! /bin/bash 
f'Ihis script returns import information about all users on the system 


*'Example line from /etc/passwd 
falice:x:501:501:Alice Adams:/home/alice:/bin/bash 
for user in $(cut -d: -f1 /etc/passwd) 
do 
IFS-$'"ur 
#Grab the line from the password file that 
*contains this user's info. We append the 
fdelimiter (:) to ensure we only get results 
for this username and not similar users 
userinfo-$(grep $user: /etc/passwd) 


comment-$(echo $userinfo | cut -d: -f5) 
home-$(echo $userinfo | cut -d: -f6) 
groups-$(groups $user | cut -d: -£2) 


#We only want this to run on «regular» users, 
snot system accounts. Skip users that do not 
fhave /home' in the path to their home directory 
if [ $(echo «$home» | grep -v /home/) ] 
then 

continue 


echo «Username: $user» 

echo «User Info: $comment» 
echo «Home Directory: $home» 
echo «Groups: $groups» 


echo «Disk usage: $(du -sh $home)» 
last-$(last $user | head -1) 


if [ $(echo $last | wc -c) -gt 1] 
then 

echo «Last login: » 

echo «$last» 
else 

echo «User has never logged in!» 


echo «» 

echo «--» 

echo «» 
done 


[alice&sunshine ~]$ /opt/book/scripting/user info 
Username: alice 

User Info: Alice Adams 

Home Directory: /home/alice 

Groups: alice sys 

Disk Usage: 75M /home/alice 

Last login: 

alice pts/3 sunshine.edu Sun Jan 13 12:22 - 13:00 (0:48) 
Username: bob 

User Info: Bob Brown 

Home Directory: /home/bob 

Groups: bob 

Disk Usage: 1.1M /home/bob 

Last login: 

bob pts/6 sunshine.edu Sun Jan 6 16:48 - 18:46 (1:58) 





أمن المعلومات وإدارة مخاطر تقنية ا معلومات ow‏ 


الفصل العاشر 


وبإلقاء نظرة تفصيلية على هذا النص البرمجيء نلاحظ أنه في السطور الأولى تم تكوين 
حلقة باستخدام جميع أسماء المستخدمين في النظام, إذ إن اسم المستخدم يكون دائما في 
العمود الأول من ملف (etc/password/)‏ 


for user in $(cut -d: -f\ /etc/passwd) 


do 





تم البحث في ملف (etc/password/)‏ لكل الحسابات وذلك للعثور على معلومات 


IFS-$'"n 


userinfo-$(grep $user: /etc/passwd) 





أما القسم التالي من النص البرمجي فقد استخدم الأمر (cut)‏ لفصل أعمدة معلومات 
الحسابات إلى متغيرات قابلة للاستخدام. كما استخدم الأمر (groups)‏ للحصول على äg‏ 
المجموعات التي ينتمي إليها المستخدم. أيضا تم استخدام الأمر (du)‏ لحساب المساحة 
التخزينية التي يستخدمها الدليل الرئيسي لكل مستخدم. 


omment-$(echo S$userinfo | cut -d: -fo) 
home-$(echo $userinfo | cut -d: -£1) 
groups-$(groups $user | cut -d: -fY) 

echo «Username: $user» 


echo «User Info: $comment» 


echo «Home Directory: $home» 


echo «Groups: $groups» 


echo «Disk usage: $(du -sh $home)» 





وفي الجزء الأخير من النص البرمجي تم استخدام الأمر (last)‏ للحصول على أحدث دخول 
للمستخدم. وإذا لم يقم ال مستخدم بتسجيل الدخول مطلقاء OB‏ نتيجة أمر (last)‏ ستكون 
سطرا فارغاء كما سيعرض النص البرمجي رسالة بحدوث خطأ. أما إذا قام المستخدم بتسجيل 
الدخول فإنه يُعرّض آخر تسجيل دخول للمستخدم ومدة تسجيل الدخول. 


OTA‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


البرمجة النصية لقشرة نظام التشغيا 


last-$(last $user | head -1) 
if [ $(echo $last | wc -c) -gt 1] 


then 
echo «Last login:» 
echo $last 
else 
echo «User has never logged in!» 


fi 





نموذج حالة-ماكس بتلر :(Max Butler)‏ 


في عام ۱۹۹۸ كان ماكس بتلر (Max Butler)‏ والذي يبلغ من العمر YA‏ عاما «IT‏ 
أحد ا لمتحمسين للحاسب SI‏ ويكسب أكثر من ٠٠١‏ دولار في الساعة من خلال اختبار 
أمن الشركات التي يتعامل معهاء كما كان أحد المتطوعين في مكتب التحقيق الفيدرالي 
بسان فرانسيس كو. وفي تلك السنة تم اكتشاف ثغرة أمنية حرجة في معظم خوادم اسم 
المجال (DNS)‏ الشائعة الاستخدام على الإنترنت والمفتوحة المصدر والمعروفة ب (BIND)‏ 
ويُستخدم (BIND)‏ فعلياً على جميع الخوادم وذلك لربط عناوين المواقع الإلكترونية 
(URLS)‏ مثل (www.usf.edu)‏ بعناوين بروتوكول الإنترنت (IP addresses)‏ مثل 
MA)‏ ,لا 119). وتسمح تلك الثغرة المكتشفة لقراصنة الحاسب بالحصول على تحكم 
كامل لأي خادم يقوم بتشغيل إصدار غير محمي من (BIND)‏ وبالتحديد فإن جميع 
خوادم وزارة الدفاع الأمريكية تعمل على .(BIND)‏ ولحماية هذه الخوادم من المهاجمين 
لابد من القيام بعمليات التصحيح المطلوبة قبل أن يصل المهاجمون إليها. لكن البيروقراطية 
الععسكرية بطيئة نوعا ما. كيف لخبير أمني مهتم بهذا ا لموضوع مع ما يحمله من براءة 
شاب ذي عشرين عاماء أن يصلح هذا الخلل في أسرع وقت ممكن؟ 
الدخول للبرمجة النصية. النص البرمجي Sce‏ العمل بنفس سرعة جهاز الحاسب JYI‏ كما 
يمكنه توجيه OU‏ من أجهزة الحاسب الآلي في كل ثانية لتحميل تصحيح معين ومن ثم 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات 014 


الفصل العاشر 


قيام الأجهزة بإصلاح نفسها. ماكس بتلر el (Max Butler)‏ بفعل ذلك حيث قام بتجهيز 
نص برمجي يستطيع العثور على أي خادم يعمل على إصدار غير محدث من (BIND)‏ 
ومن ثم تحديث هذا الإصدار بالتصحيح المحدد. وف أثناء ذلك قام ماكس بتلر Max)‏ 
(Butler‏ بتعديل التصحيح بحيث ينشي bb‏ خفياً Y‏ أحد يعلم عنه. ويعتقد ماكس بهذه 
الطريقة أنه يحمي أجهزة الحاسب الآلي من ez lel‏ في حين أنه في الوقت ذاته يتيح 
لنفسه الوصول غير المقيد لنفس أجهزة الحاسب الآلي حتى يتمكن من الدخول وإصلاحها 
في المرة القادمة التي يتم فيها الإبلاغ عن ثغرة ما. وبناء على ذلك لا حاجة لإضاعة الوقت 
في التواصل مع مسؤولي وزارة الدفاع. 

وهذا العمل تم بشكل جيد لكن ولسوء حظ ماكس فإن الباب الخفي م يُعد عملا حسنا. 
فعندما علم مسؤولو وزارة الدفاع عن الباب الخفيء قاموا بمحاكمة ماكس. وفي يوم YV‏ من 
sila oa‏ من Y* V ele‏ أرسل ماكو إل الجن V Bad‏ هرا سيب هذا العمل 
وهذه مم تكن الحالة الأخيرة لماكس مع جرائم الإنترنت أو السجن. ففي وقت لاحق e‏ 
ماكس بقيادة غالبية سوق بطاقات الائتمان غير المشروعة. وف الثاني عشر من شهر فبراير 
من عام ۲٠٠١‏ تم الحكم على ماكس بالسجن lole 1١ Bad‏ لهذه الجرهةء وهي أطول 
مدة تم الحكم فيها في جرائم الحاسب الآلي. لكن هذه الحالة جرى التفوق عليها من قبل 
الحكم الصادر على ألبرت غونزاليس (Albert Gonzales)‏ في قضية تي جي ماكس TJ.)‏ 
idis (Maxx‏ يقضي ماكس عقوبته في سجن (Yankton Federal Prison Camp)‏ 
ويتصف هذا السجن بالحد الأدنى من الأمن في ولاية جنوب داكوتا (South Dakota)‏ 
ومن المقرر أن يفرج عنه في الأول من يناير من عام .۲١٠۹‏ وقد أنتجت محطة (CNBC)‏ 
التلفزيونية ملفا عن هذه الحالة باسم «الجشع الأمريكي» .(American greed)‏ 


المراجع: 


http://www.wired.com/techbiz/people/magazine/17-01/ff_max_ 


butler?currentPage=all 


Poulsen, K. «Kingpin: how one hacker took over the billion-dollar cybercrime 


underground,» Random House. 


http://www.cnbc.com/id/100000049 


0۷° أمن المعلومات وإدارة مخاطر تقنية المعلومات 


البرمجة النصية لقشرة نظام التشغيا 


الملخص: 

استعرض هذا الفصل النصوص البرمجية لقشرة نظام التشغيل وفوائدها. فالنصوص 
البرمجية تعد واحدة من أقوى الأدوات في ترسانة متخصصي تقنية المعلومات» وخصوصا 
متخصصي أمن المعلومات. ويستطيع المتخصص أن gozo‏ كل خبرته المهنية في مخزون 
النصوص البرمجيةء وذلك لإعادة استخدامها في اللحظة المناسبة. ولقد حاولنا في هذا الفصل 
استخدام حالات مثيرة للاهتمام وذلك لتقديم هذا الموضوع., ونأمل أن تكون مصدر إلهام 
لتطوير النصوص البرمجية الخاصة بك لأتمتة ال مهام المتكررة في عملك اليومي. 

وتحتوي مكتبة المطور التابعة لشركة أبل (Apple)‏ على فصل موجز ومكتوب بطريقة جيدة 
عن البرمجة النصية لقشرة نظام التشغيل وعنوان ذلك الفصل (Shell scripting primer)‏ . 


أسئلة مراجعة للفصل: 
.١‏ ما البرمجة النصية لقشرة نظام التشغيل؟ 
۲. فيم تستخدم البرمجة النصية لقشرة نظام التشغيل؟ وما فائدة هذا الاستخدام؟ 
Y‏ ما الفرق المهم بين لغات البرمجة النصية ولغات الحاسب الآلي الأخرى؟ 
.٤‏ ما السطر الأول في النص البرمجي لقشرة نظام التشغيل (BASH)‏ 
5. ما الذي يحدث إذا م elle‏ ملف النص البرمجي أذونات التنفيذ وذلك للمستخدم 
الذي يحاول تشغيل النص البرمجي؟ 
7. ما إعادة توجيه ال مخرجات؟ وما فائدته؟ 
V‏ .ما gall‏ الذي كيد توه مخرجاك sole ael‏ ليكون هذخا لامر $T‏ 
۸. كيف بمكن إرسال مخرجات النص البرمجى إلى ملف Sh‏ وما فائدة ذلك؟ 


9. هل يؤدي الأمران التاليان: (echo «SPATH») 5 (echo «$PATH»)‏ إلى المخرجات نفسها؟ 


(6)http://developer.apple.com/library/mac/4documentation/OpenSource/Conceptual/ 
ShellScripting/Introduction/Introduction.html (accessed 07/19/2013) 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات 0۷۱ 





الفصل العاشر 


ový 


Ae 


NÀ 


AY 


AY 


NVE 


:\0 


NI 


.N 


YA 


VY 


.YY 


ما الرمز الذي تستخدمه قشرة نظام التشغيل (BASH)‏ لتمثيل الضرب الحسابي؟ 


ما الرمز المستخدم لبدء الملاحظات في النص البرمجي لقشرة نظام التشغيل 
S(BASH)‏ 


ما الذي يقوم به الأمر S(cut)‏ 

فيم يُستخدم الأمر S(sort)‏ 

فيم يستخدم الأمر f(uniq)‏ 

في العبارات التالية التي تحدد قيمة المتغير, أي منها يُعتبر صحيحاً؟ 

(myVariable = 35) ٠ 

(myVariable = 35) ٠ 

(myVariable- 35( ٠ 

(myVariable -35( ٠ 

ما الرمز الذي يقرأ البيانات من املف ويستخدمها كمدخل لأمر آخر؟ 


ما متغيرات البيئة؟ وما فائدتها؟ 


. ما ا متغيرات ال مدمجة؟ وما الفرق بينها وبين متغيرات البيئة؟ 
. ما القيمة المفترضة ل )?$( إذا تم تنفيذ آخر أمر بنجاح؟ 


“كيف يكن gaz‏ مدخلات امستخدم من النض Suma‏ 


عند العمل على معاملات سطر الأوامرء ما المتغير الذي سيؤدي إلى المعامل الثاني 


3(second argument) 


ما فاصل الحقل الداخلي؟ وما قيمته الافتراضية؟ وكيف هكن تغيير تلك القيمة 
الافتراضية؟ وماذا نقوم بتغيير القيمة الافتراضية؟ 


ما سلسلة الأرقام الناتجة عن $(Y..V «M‏ 


أمن المعلومات وإدارة مخاطر تقنية المعلومات 


البرمجة النصية لقشرة نظام التشغيل 
.٤‏ ما الحلقات؟ وما فائدتها؟ 


0. متى تنتهي حلقة S(while)‏ 


أسئلة على نموذج الحالة: 
.١‏ ما هي بعض المؤسسات التي تأثرت بالنص البرمجي ل ماكس بتلر *(Max Butler)‏ 
؟. يدعي ماكس بتلر (Max Butler)‏ أنه eB‏ بتثبيت الباب الخفي في أجهزة الحاسب 
الآلي المصابة بنية حسنة وذلك حتى يتمكن من إصلاح الأجهزة بنفسه في المستقبل. 
كيف ترد على هذا الادعاء. وبمعنى آخر إلى أي مدى تعتقد أن هذا الادعاء يعفيه 
من الذنب؟ 
نشاط التدريب العملى - أساسيات البرمجة النصية: 
تهدف هذه الأنشطة لتطبيق ا معارف ال مكتسبة من هذا الفصل والمتعلقة بأوامر وآليات 
البرمجة النصية. باستخدام آلة لينكس الافتراضية التي قمت بتثبيتها في الفصل الثاني من 
هذا الكتاب» افتح نافذة طرفية عن طريق اختيار لوحة أدوات النظام (System Tools)‏ 


تحت قائمة التطبيقات (Applications)‏ وبعد الانتهاء من كل sl‏ قم بإرسال صورة 
من شاشة المخرجات إلى أستاذ المادة. 


.١‏ احفظ مخرجات املف (opt/book/scripting/user info)‏ في ملف 923« وأعط 
هذا الملف الجديد الاسم التالي (opt/book/scripting/results/exercisel)‏ 


opt/book/scripting/results/) وأعطه الاسم التالي‎ E La اكتب‎ .Y 
يلي:‎ Le هذا النص البرمجي‎ agis حيث‎ (exercise2 
(my) والتي يحتوي اسمها على كلمة‎ (usr/bin/) ذكر جميع الملفات في دليل‎ ٠ 
(tmp/exercisel.txt/) حفظ قائمة الملفات السابقة في ملف‎ o 


٠‏ عرض عدد الملفات التي تم العثور عليها للمستخدم. 


أمن المعلومات وإدارة مخاطر تقنية ال معلومات ovv‏ 


الفصل العاشر 


ove 


اكتب nd M‏ وأعطه الاسم التالي opt/book/scripting/results/)‏ 
(exercise3‏ حيث agis‏ هذا النص البرمجي Le‏ يلي: 

ه سؤال المستخدم عن طول وعرض غرفة مستطيلة الشكل (بالقدم). 

o‏ حساب مساحة الغرفة. 

ه عرض النتيجة للمستخدم. 

opt/book/scripting/results/) وأعطه الاسم التالي‎ E شا‎ bec 
ياي:‎ Ue هذا النص البرمجي‎ agi حيث‎ «(exercise4 

.١ إلى‎ ٠١ العد العكسي من‎ ٠ 

٠‏ عرض الرقم الحالي. 

٠‏ التوقف لثانية واحدة بين الأرقام. 

.١ بعد الوصول إلى الرقم‎ (LFIT OFF) عرض النص التالي‎ ٠ 


اعمJ‏ نسخة (opt/book/scripting/while loop. examplel) Alh‏ وأعطها الاسم 
(opt/book/scripting/results/exerciseO) JW‏ وقم بإجراء التعديلات التالية: 


٠‏ اطلب من المستخدم إدخال الرقم الأعلى. 

٠‏ اعرض جميع الأرقام الزوجية انتهاءً بالعدد الأعلى. 

اعمل نسخة ملف (opt/book/scripting/number. guess v4)‏ وأعطها الاسم 
التالي (opt/book/scripting/results/exercise6)‏ وقم بتحديث ال ملف بحيث 
يعطي المستخدم العديد من الفرص اللازمة لتخمين الرقم. 

اعمل نسخة (opt/book/scripting/user info) Alh‏ وأعطها الاسم التالي opt/)‏ 


(book/scripting/results/exerciseV‏ وقم بتحديث الملف بحيث: 
٠‏ يقبل اسم المستخدم كمعامل لسطر الأوامر. 
٠‏ بدلا من عرض معلومات جميع الحسابات» يقوم بعرض مخرجات هذا الحساب فقط. 


أمن المعلومات وإدارة مخاطر تقنية المعلومات 


البرمجة النصية لقشرة نظام التشغيا 


النتائج المطلوب تسليمها: قم بتسليم جميع الملفات في دليل opt/book/scripting/)‏ 
(/results‏ إلى أستاذ المادة. 


تمرين التفكير النقدي - أمن النص البرمجي: 

٠‏ تعد البرمجة النصية ذات فائدة كبيرة. لكن في كتاب متخصص في أمن المعلومات 
سنكون مقصرين إذا لم نلفت انتباه القارئ إلى المخاوف الأمنية الهامة ذات العلاقة 
بالبرمجة النصية. وتحتوي صفحات المطور التابعة لشركة أبل (Apple)‏ على 
معلومات عن أمن البرمجة النصية لقشرة نظام التشغيل والتي من أهمها ما يلي: 

e‏ إذالم يتم تحديد مسارات الأوامر كاملةء فإن النص البرمجي قد ينتهي بتشغيل 
تعليمات برمجية ضارة لها اسم الأمر نفسه الذي يتم تنفيذه من قبل النص البرمجي. 

٠‏ في حال قبول مدخلات المستخدم دون تحقق, فإن المستخدم المطلع يستطيع 
استغلال امتيازات النص البرمجي. لذلك فإن مدخلات المستخدم يجب أن تستخدم 
فقط في أضيق الحدود بحيث تتطابق تلك المدخلات مع مجموعة من القيم 
المسموح بها. 

٠‏ لا ينبغي للنصوص البرمجية أن تحدد ما إذا كان لدى المستخدم الامتيازات المطلوبة 
لتنفيذ النص البرمجي. فالمستخدم الذي ينفذ النص البرمجي يستطيع تعديل 
متغيرات البيئة لإحباط تلك الفحوصات. 


المراجع: 


Apple Corp. «Shell scripting primer,»  http://developer.apple.com/ 
library/mac/£documentation/OpenSource/Conceptual/ShellScripting/ 
ShellScriptSecurity/ShellScriptSecurity.html2//apple ref/doc/uid/ 
TP40004268-CH8-SW] (accessed 072013/19/) 


أسئلة على البرمجة النصية لقشرة نظام التشغيل: 
.١‏ إذا كانت النصوص البرمجية تستخدم في المقام الأول من قبل مسؤولي النظام 
أصحاب الخبرة» فلماذا يجب أن نهتم بأمن النصوص البرمجية؟ 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات ovo‏ 


الفصل العاشر 
Y‏ اذا يعد تنفيذ النصوص البرمجية من قبل مستخدم «جذر» (root user)‏ أمرا خطيرا؟ 


تصميم حالة: 

تم استدعاؤك للتحقيق في خرق محتمل في صندوق (Ubuntu Linux)‏ وفي هذه 
الحالة من المفيد النظر في ملف السجل الذي يحفظ معلومات تسجيل الدخول (ssh)‏ 
(وهي خدمة تسجيل الدخول عن بعد لمضيف نظام ينكس). وفيما يلي مقطع من ملف 
(auth. log)‏ والملف الكامل موجود في آلة لينكس الافتراضية ف الدليل opt/book/)‏ 
.(scripting/desing cas/auth.log‏ 


Feb 17 08:00:08 inigo sshd[7049]: Failed 
password for root from 

61.136.171.198 port 59146 ssh2 

Feb 17 08:00:09 inigo sshd[7049]: Received 
disconnect from 

61.136.171.198: 11: Bye Bye [preauth] 

Feb 17 08:00:16 inigo sshd[7051]: pam . 


unix(sshd:auth): authentication 


failure; logname- uid-0 euid-0 tty-ssh 


ruser- rhost-61.136.171.198 

user=root 

Feb 17 08:00:18 inigo sshd[7051]: Failed 
password for root from 

61.136.171.198 port 59877 ssh2 

Feb 17 08:00:19 inigo sshd[7051]: 
Connection closed by 61.136.171.198 
[preauth] 

Feb 17 08:17:01 inigo CRON[7296]: pam_ 
unix(cron:session): session 

opened for user root by (uid=0) 

Feb 17 08:17:01 inigo CRON[7296]: pam_ 
unix(cron:session): session 


closed for user root 





ovi‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 








البرمجة النصية لقشرة نظام التشغيا 


.١‏ قم بإنشاء نص برمجي يستعرض عناوين بروتوكل الإنترنت (IP addresses)‏ (بدون 
تكرار) لجميع الخوادم التي حاولت الدخول وفشلت في تسجيل الدخول كمستخدم 
«ode‏ كما يستعرض النص البرمجي عدد المرات التي حاول فيها JS‏ خادم تسجيل 
الدخول. وقم بفرز النتائج وفقاً لعدد مرات تسجيل الدخول الفاشلة. 

؟. قم بإنشاء نص برمجي يستعرض جميع أسماء الحسابات التي تم تجريبها ولا وجود 
لهافي هذا الخادم (تلميح: ابحث عن عبارة Failed password for invalid)‏ 
LS «(user‏ يستعرض النص البرمجي عناوين بروتوكل الإنترنت (IP addresses)‏ 
التي صدرت منها تلك المحاولات. وقم بفرز النتائج أبجدياً بحيث لا تشمل السطور 
المكررة. 

*. قم بإنشاء نص برمجي يقرأ ملف (ip.txt)‏ والذي يحتوي على قائمة من عناوين 
بروتوكل الإنترنت (IP addresses)‏ كما يحاول النص البرمجي تحديد «اسم المجال 
المؤهل بشكل كامل» (Fully Qualified Domain Name)‏ أو اختصاراً (FQDN)‏ 
باستخدام الأمر .(host)‏ ويعد (FQDN)‏ مساعد الذاكرة البشري لعناوين بروتوكل 
الإنترنت مثل (www.google.com)‏ أو .(my.usf.edu)‏ ويجب أن يحفظ النص 
البرمجي عناوين بروتوكل الإنترنت و «اسم اطمجال المؤهل بشكل كامل» (FQDN)‏ 
(وإذا مم يمكن تحديد عنوان بروتوكل الإنترنت يجب أن يحفظ النص البرمجي عبارة 
«غير معروف» (UNKNOWN)‏ وذلك في ملف باسم (fqdn.txt)‏ بحيث تكون 
كل مجموعة في سطر واحد ويتم الفصل بينهم بفواصل. 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات ow‏ 


OVA 


الفصل الحادي عشر 
التعامل مع الحوادث الأمنية 
نظرة عامة: 


في هذا الفصل سنلخص الحديث عن المفاهيم والأفكار العديدة التي استعرضناها في 
الفصول السابقة بإحدى الحوادث الأمنية. فالتعامل مع الحوادث الأمنية جانب مهم من 
جوانب الأمن لأنه ينطوي على التقليل من التأثير السلبي للحادث على الأصول. ويساعد 
تطبيق الضوابط اللازمة على تقليل تعرض الأصول للتهديدات «LEGI‏ ومن ثم استعادة 
خدمات تقنية المعلومات بأقل تأثير في المنظمة قدر الإمكان. في نهاية هذا الفصل يجب 
أن تكون قادرا على: 

٠‏ تحديد العناصر الرئيسية في التعامل مع الحوادث الأمنية. 

٠‏ فهم دورة حياة التعامل مع الحوادث الأمنية. 

٠‏ إعداد سياسة أساسية تضع منهجية للتعامل مع الحوادث الأمنية. 

٠‏ استخدام ا مواد التي استعرضناها سابقاً في تحديد وتصنيف الحوادث الأمنية بشكل صحيح. 

٠‏ تحديد الوقت المناسب sad‏ عملية احتواء الحوادث الأمنية والقضاء عليها. 

alus] ٠‏ تقرير بالحوادث الأمنية وذلك لتحسين الاستعداد المستقبلي للحوادث الأمنية 

المماثلة. 


٠‏ معرفة عناصر التعافي من الكوارث والتخطيط لاستمرارية الأعمال. 


مقدمة عن الحوادث الأمنية : 

وفقاً لإدارة مخاطر تقنية المعلومات )800 (rev2 61-NIST‏ فإن حوادث أمن الحاسب 
UI‏ هي انتهاك أو تهديد وشيك بانتهاك سياسات أمن الحاسب الآل» أو سياسات الاستخدام 
المقبول» أو ممارسات الأمان الموحدة. ومن الأمثلة على الحوادث الأمنية ما يلي: 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات 0۷۹ 


الفصل الحادي عشر 


e‏ مهاجم يأمر روبوتات بإرسال عدد كبير من طلبات الاتصال لخادم ويب امنظمة مما 
يؤدي إلى تعطل الخادم. 

o‏ خداع بعض ال مستخدمين في المنظمة عن طريق إرسال «تقرير فصلي» مزيف عبر 
البريد الإلكتروني وهو في الواقع برنامج ضار يقوم بتشغيل أداة تضر بأجهزة الحاسب 
الآلي وتؤسس اتصالات مضيف خارجي. 

٠‏ مهاجم يحصل على بيانات حساسة ويقوم بتهديد الرئيس التنفيذي للشركة بأنه 
سيجعل البيانات متاحة للعامة إذا لم تقم المنظمة بدفع مبلغ معين من JUI‏ 

٠‏ مستخدم يقوم بعرض بيانات حساسة للآخرين من خلال خدمات النظراء لمشاركة 
املفات (peer-to-peer)‏ 


في الفصول السابقة قمنا بتعريف المكونات الهامة لأمن المعلومات Ue‏ في ذلك التهديدات 
والأصول وخصائصها وبعض التدابير المشتركة للحد من مشكلات أمن المعلومات. ولسوء 
الحظ فإنهء وعلى الرغم من كل هذه المحاولات» من المرجح أن يجد المتطفل طرقاً لخلق 
المشكلات. ونطلق على تلك المشكلات (الحوادث الأمنية). وللاستجابة للحوادث الأمنيةء من 
المفيد تطوير بعض الإجراءات الموحدة وصقل تلك الإجراءات بناء على الخبرات. وسنقدم 
في هذا الفصل العناصر الأساسية لإجراءات التعامل مع الحوادث الأمنية. 


التعامل مع الحوادث الأمنية: 

كيف يتم التعامل مع الحوادث الأمنية؟ في الجزء الأول من هذا الكتاب» ألقينا نظرة 
dale‏ على المشكلات التي يتم التعامل معها عند الاستجابة للحوادثء وذلك عندما ناقشنا 
مشكلة خادم البريد الإلكتروني للطلاب. وبالنظر إلى تلك المشكلة, ما الخطوات التي قمت 
بها للاستجابة إلى تلك الحادثة؟ ماذا عن الإصابة بالفيروسات, أو تشويه صفحات الشبكة؟ 
هل هناك إجراءات مشتركة للاستجابة المناسبة لجميع هذه الحوادث؟ 

في حين أن إجراءات التعامل مع كل حادثة قد تختلفء إلا أن العملية بشكل عام تبقى 
كما هي. odas‏ الإجراءات موضحة في إدارة مخاطر تقنية ا معلومات )800 (rev2 61-NIST‏ 
وتتضمن € خطوات أساسية: 


0۸° أمن المعلومات وإدارة مخاطر تقنية المعلومات 


التعامل مع الحوادث الأمنية 


.١‏ الإعداد. 
.Y‏ الاكتشاف والتحليل. 
.Y‏ الاحتواء والاستئصال والاسترداد. 


.٤‏ تحليل ما بعد الحادث الأمنى. 


الاحتواء 
والاستئصال 


الاكتشاف 
والتحليل 


الاعداد 
والاسترداد 





وف المنظمات الأكثر فاعلية فإن هذه الخطوات لا تستقل بذاتها بل تعد جزءا من دورة 358 
نفسها في كل مرة تواجه المنظمة حدثا ضارا. وفي بقية هذا الفصل سنناقش polis‏ التعامل مع 
الحوادث الأمنية التقليدية وذلك باتباع إجراءات إدارة مخاطر تقنية المعلومات (NIST)‏ 





مثال مرجعي: التعامل السيء مع الحوادث الأمنية 


هذه الأيام» ومع وجود درجة عالية من الاحتراف في عام تقنية ا معلومات. من الصعب الحصول 
على مثال سين للتعامل مع الحوادث الأمنية. ولحسن kho‏ فقد قام المفتش العام لوزارة 
التجارة الأمريكية في السادس والعشرين من يونيو من عام ۲١٠١‏ بإصدار تقرير مراجعة 
للحوادث الأمنية الاستثنائية التي كان التعامل معها تعاملا سيئا في إدارة التنمية الاقتصادية 
(Economic Development Administration)‏ وهي وحدة صغيرة فا في وزارة التجارة 
الأمريكية حيث بلغت ميزانيتها السنوية ET:‏ مليون دولار في عام .5١11‏ 


وخلاصة القول أن وزارة الأمن الداخلي نبهت إدارة التنمية الاقتصادية (EDA)‏ وإدارة المحيطات 
والغلاف الجوي الوطنية (National Oceanic and Atmospheric Administration)‏ في 
السادس من ديسمبر من عام ۲١٠١‏ بوجود برامج ضارة محتملة في أنظمتها ا معلوماتية. وبحلول 
الثاني عشر من يناير من عام ۲١٠١‏ تمكنت إدارة ال محيطات والغلاف الجوي الوطنية من إصلاح 
مشكلاتها وإعادة أنظمتها المتأثرة إلى الخدمةء أي تقريبا بعد YO‏ يوما من التحذير الأولي. 


أمن المعلومات وإدارة مخاطر تقنية ال معلومات OA‏ 


الفصل الحادي عشر 


(Jes‏ النقيض من ذلك فإن إدارة التنمية الاقتصادية آصرت على التعهد بإزالة البرمجيات الضارة 
من جميع أنظمتها الإلكترونية وذلك خوفاً من انتشار الإصابة بالبرمجيات الضارة وتدخل أحد 
أطراف الحكومة. ولتحقيق ذلك أنفقت إدارة التنمية الاقتصادية لعلاج المشكلة أكثر من Y,V‏ 
مليون دولار Le‏ في ذلك ٠,١‏ مليون دولار تكلفة خدمات من أحد متعهدي تقنية المعلومات. 
وتمثل هذه التكلفة أكثر من نصف مجموع الميزانية السنوية لتقنية المعلومات ف إدارة التنمية 
الاقتصادية. 


وما يثير الاهتمام أكثر أن إدارة التنمية الاقتصادية دفعت 6,٠١‏ دولار للمتعهد ليقوم بتدمير ما 
كلفته 17١,2٠٠‏ دولار من أجهزة تقنية المعلومات والتى اشتملت على الطابعات وأجهزة التلفزيون» 
والكاميرات» وأجهزة الحاسب المكتبية» وفارات الحاسب الآلي» وحتى لوحات المفاتيح. 


وقد توقف هذا التدمير الوحشي في الأول من أغسطس من عام ۲۰٠۲‏ بسبب استنفاد إدارة 
التنمية الاقتصادية مواردها المالية بسبب هذه الجهود الهدامة. ولهذا فقد أوقفت إدارة 
التنمية الاقتصادية تدمير ما تبقى من مكونات تقنية المعلومات والذي تبلغ قيمتها أكثر من Y‏ 
مليون دولار. وكانت إدارة التنمية الاقتصادية تنوي استئناف أنشطتها التدميرية بمجرد توفر 
الموارد اطالية اللازمة لذلك. 


وكل ذلك فقط لإزالة برامج ضارة نمطية أثرت à‏ اثنين مما يقارب من YO-‏ عنصراً من عناصر تقنية 
المعلومات (كأجهزة الحاسب الآلي sS I‏ وأجهزة الحاسب الآلي ا محمولةء والخوادم). 


وهذه الحادثة أحد أمثلة ما هكن أن تتعرض له كل مرحلة من مراحل التعامل مع الحوادث 
الأمنية. وسنستخدم هذا المثال خلال هذا الفصل من الكتاب لتوضيح الأمور السلبية التي 
قد تحدث. وقد يكون هذا الحادث ظريفا إن مم تكن تكاليف تلك النتيجة غير السعيدة من 
الضرائب التي يدفعها ا مواطنون. 


المراجع: 


US Department of Commerce, OIG Final Report, «Economic Development 


Administration Malware Infections on EDAS Systems Were Overstated and the 


Disruption of IT Operations 
Was Unwarranted,» OIG-13-027-A, June 26, 2013, http://www.oig.doc.gov/ 
OIGPublications/OIG-13-027- A.pdf (accessed 07/14/2013) 





OAY‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


التعامل مع الحوادث الأمنية 


الإعداد: 


الإعداد هو الخطوة الأولى في وضع خطة الاستجابة للحوادث الأمنية. وينطوي الإعداد 
على أكثر من محاولة التفكير في جميع سيناريوهات التهديد المحتملة والتي هكن أن تؤثر 
في مواصفات أصل معينء والرد ا مناسب على كل من هذه السيناريوهات. وبدلا من محاولة 
أن نكون على استعداد تام للتعامل مع جميع أنواع أنشطة التهديد المختلفة ضد جميع 
الأصول المختلفة, فإنه من المفيد أكثر أن نقوم بتحديد الخطوات الأساسية المشتركة بين 
جميع تلك الأحداث والتخطيط لتنفيذ تلك الخطوات. 


وضع سياسية للاستجابة للحوادث الأمنية: 

تتمثل الخطوة الأولى للتحضير للتعامل مع الحوادث الأمنية في وضع سياسة للاستجابة 
للحوادث الأمنية والحصول على موافقة الإدارة العليا على تلك السياسة. وتصف سياسة 
الاستجابة للحوادث الأمنية الطرق الموحدة اللمستخدمة من قبل المنظمة في التعامل مع 
حوادث أمن المعلومات. وقد ينظر العديد من الأشخاص إلى هذه الخطوة بأنها عمل غير 
ضروري إلا أن هذه الخطوة مهمة جداً لمرحلة التنفيذ فيما بعد. وذلك لأن هذه السياسة 
تساعد على التركيز على الحادثة بأكملها من البداية إلى النهاية دون تشتيت من وسائل 
الإعلام والضغوط التنظيمية, متضمناً ذلك النتائج المحتملة للضوابط المؤقتة التي قد تضطر 
إلى وضعها لاحتواء أو استئصال التهديد. على سبيل اممثالء إذا تعرض خادم الشبكة الخاص 
بالجامعة إلى هجوم ماء فإنه من الأفضل أن يكون هناك سياسة تسمح لتقنية المعلومات 
بتعطيل الموقع الإلكتروني ما دام ذلك ضرورياً للتعامل مع هذه القضيةء بدلاً من الاضطرار 
للحصول على أذونات من أصحاب المصلحة في الوقت الفعلي للقيام بذلك. وفي الواقع فإن 
معرفة أن الجامعة تتبع إجراءات موحدة سيكون مطمئناً لأصحاب المصلحة Le‏ في ذلك 
مستخدمي الموقع الإلكتروني مقارنة بمعرفة أن الجامعة تحاول اكتشاف ما يجب عليها 
القيام به في الوقت الفعلي. كما أن النقاشات المشتركة في تطوير سياسة الاستجابة للحوادث 
الأمنية تساعد الإدارة على فهم القضايا التي قد تضطر للتعامل معها خلال الحوادث الأمنية 
الفعلية. 
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الفصل الحادي عشر 


ويجب أن تكون السياسة في صيغة مكتوبة لأنها مفهوم مهم في الأمن وعلى جميع 
المديرين أن يدركوا أهمية هذا المفهوم. كما أن صعوبات تطبيق السياسة تختلف اختلافاً 
كبيراً من منظمة إلى منظمة أخرى. 

في جامعة جنوب فلوريدا السياسات تكتب I‏ ثم يتم فحصها من قبل وحدة تقنية 
ا معلومات واللجان التوجيهية الداخليةء ثم تنتقل إلى المستشار العام لفحصها مع الجهات 
ا مختلفة في الجامعة بدءا من اتحاد أعضاء هيئة التدريس ووصولا بالموارد البشريةء وذلك 
A Bad‏ أسابيع. وميزة هذه العملية المطولة أنها تساعد على التعريف بالسياسات كما 
تساعد على زيادة الوعي الأمني. لكن في المنظمات الأخرى قد تكون رسالة بريد إلكتروني 
مبسطة إلى المسؤول التنفيذي كافية لتطبيق السياسة. وتجدر الإشارة إلى أن دعم الإدارة 
العليا نقطة مشتركة في كلا ال منهجين ويتوجب أن يكون في أي سياسة. 

وهذا هو السبب وراء الحاجة إلى السياسة في صيغة مكتوبة: إذا كان من الضروري 
سحب القابس من الخادم لأن معلومات حساسة قد تتسرب بسبب أحد المهاجمينء فإنك 
تريد الاطمئنان التام إلى أن شخصاً ما يدعمك. 

والنطاق هو جزء من سياسة الاستجابة للحوادث الأمنية ويقوم بتحديد أهداف هذه 
السياسة. ومن المستحسن أن يكون النطاق ضيقاً ومحدداً قدر الإمكان بما هو قابل 
للتحقيق. وتشمل عناصر النطاق ما يلي (I)‏ ما الأصول التي يتم تغطيتها بالسياسة؟ (ب) 
هل هناك أي استثناءات لهذه السياسة؟ (ج) هل هناك دوائر داخل المنظمة لديها القدرة 
لرفض الالتزام بالسياسة؟ (د) هل بإمكان الدوائر الفردية أن تكون أكثر خصوصية وصرامة 
في سياساتها؟ الجامعات على سبيل JULI‏ معروفة باللامركزية من حيث موارد تقنية 
المعلومات. وفي هذه المنظمات قد يكون من الضروري محاولة التوصل إلى اتفاق بشأن 
متى يُصبح الحادث الأمني مصدر قلق على مستوى المنظمة. 

ووجود السياسة ليس كافياً في حد ذاته بل إن على جميع المعنيين أن يعرفوا ما هو 
موجود في تلك السياسة. 

وفي حالة إدارة التنمية الاقتصادية (EDA)‏ جاء في تقرير مكتب المفتش العام (OIG)‏ 
النص التالي: 
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b»‏ يتفهم موظفو وزارة التجارة التوقعات السابقة لخدمات الاستجابة للحوادث 
المحددة كما هو موضح في اتفاقية مستوى الخدمة (SLA)‏ بين وزارة التجارة وإدارة التنمية 
الاقتصادية. وهذه الاتفاقية تنص بوضوح على الالتزام بخدمات الاستجابة للحوادث التابعة 
لوزارة التجارة (مثل التحقيقء والأدلة الجنائيةء والهندسة العكسية). كما تحدد مسؤوليات 
إدارة التنمية الاقتصادية في الاستجابة للحوادث (مثل الإبلاغ عن الحوادث والتعامل مع 
البرمجيات الخبيثة المحذوفة والمحجور عليها). ولأن موظفي وزارة التجارة م يفهموا هذه 
الاتفاقية» فقد افترضوا بشكل غير دقيق أن إدارة التنمية الاقتصادية قادرة على أداء أنشطة 
تحليل الحوادث الأمنية (مثل تحديد مدى انتشار البرمجيات الضارة)». 


فريق الاستجابة للحوادث الأمنية: 

تعمل المنظمات على تحيدد موظفين لوظائف معينة. ومن المهم أيضاً أن يكون 
هناك موظفون محددون للاستجابة للحوادث الأمنية. ويطلق على هؤلاء الموظفين فريق 
الاستجابة للحوادث الأمنية. ومن المعروف أن الحوادث الأمنية لا تحدث كل «es;‏ إلا أن 
موظفي الاستجابة للحوادث الأمنية يعملون على تطوير خبراتهم لتتسق مع ما تتوقعه 
المنظمة خلال الحوادث الأمنية. 

إن الهدف الرئيسي لفريق الاستجابة للحوادث الأمنية هو الحماية العامة للبنية التحتية 
الحاسوبية للمنظمة» ومن ثم فإن على أعضاء الفريق أن يكونوا على معرفة شاملة بهيكلة 
NU‏ تقنية ال معلومات à‏ امنظمة. ور JS às‏ عام فإن الفريق مسؤول عن دورة التعامل مع 
الحوادث الأمنية متضمنا ذلك: 

٠‏ التحديد السريع لتهديدات البنية التحتية لبيانات الجامعة. 

٠‏ اتخاذ خطوات فورية للتقليل من المخاطر التي تعد حرجة وضارة على تكامل موارد 

الأنظمة المعلوماتية للجامعة. 


٠‏ أن يتم إبلاغ الإدارة بالحادثة ومخاطرها. 
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٠‏ أن يتم إبلاغ ا موظفين المحليين بأي مخاطر ذات علاقة بالموارد التي يعملون عليها. 
٠‏ إصدار تقرير lo‏ حسب clle]‏ متضمناً ذلك الدروس المستفادة. 


ولفريق الاستجابة للحوادث الأمنية أدوار متعددة قبل وأثناء وبعد وقوع الحوادث. 
ويجب أن يكون دور كل عضو من أعضاء الفريق جزءاً من سياسة الاستجابة للحوادث. 

وفي كثير من الأحيان تمر عضوية فريق الاستجابة للحوادث الأمنية من خلال أكثر من 
cjl]‏ كسان س os oe‏ رافق و alae] caseus CE‏ ريق اة 
للحوادث الأمنية من مشاريعهم الحالية وتخصيصهم للفريق الأمني. خصوصاً عندما يتعلق 
الأمر بمرحلة احتواء الحادث الأمني. 

وفي المنظمات الكبيرة قد تكون هناك حاجة لأكثر من فريق للاستجابة للحوادث الأمنية 
حيث يكون كل فريق في قسم من أقسام المنظمة. وإذا كان من الضروري استخدام فرق 
causis‏ فمن الهم أن Q353‏ هناك مجموعة مزكرية as dis$ aue‏ أفغاة Asl coll‏ 
عندما تبدأ الأحداث بتجاوز حدود القسم المتضرر. على سبيل JEL‏ الإصابة ببرنامج ضار 
في أجهزة الحاسب الآلي في كلية الآداب قد تهدد تكامل الشبكة العامة إذا تمت إصابة 
مناطق أخرى من الحرم الجامعي. إن احتواء انتشار الإصابة في الكلية عن طريق قطع 
وصول الكلية إلى الشبكة الجامعية أمر gi‏ ضمن اختصاص المجموعة المركزية لفريق 
الاستجابة للحوادث الأمنية. 


في جامعة جنوب فلوريداء تتطلب السياسة وجود إدارات ووحدات منفردة لتنبيه فريق 
الاستجابة للحوادث الأمنية وذلك عند مشاركة أصل مُصنف بأنه «أصل مقيد» في حدث سلبي. 
ويجب أن يعمل أعضاء فريق الاستجابة للحوادث الأمنية مع بعضهم البعض في أقرب وقت يتم 
فيه الكشف عن الحادث داخل الجامعة. وبعد استعادة العمليات العادية. يجب تقديم تقرير 


لجميع أعضاء فريق الاستجابة للحوادث الأمنية ومسؤولي النظم الداخلية يحدد بوضوح مدى 
الاختراق والخطوات التي اتخذت لتجنب الحوادث في المستقبل. ويتم مراجعة هذه الحوادث 
من قبل مدير إدارة أمن تقنية المعلومات كجزء من برنامج تقييم المخاطر المستمر (سيتم 
مناقشة تقييم المخاطر في الفصل (VE‏ 
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ويكون لفريق الاستجابة للحوادث الأمنية رئيساً واحداً وعادة ما يكون محلل أمني رفيع. 
وهذا المحلل يقوم بالتنسيق مع أعضاء فريق الاستجابة للحوادث الأمنية ومساعدتهم في 
أداء وظائفهم عند التعامل مع الحادث الأمني كالتواصل مع الإدارة والمستخدمين وموظفي 
تقنية ال معلومات وال موردين ومزودي خدمات الإنترنت وغيرهم. ويتحكم رئيس فريق 
الاستجابة للحوادث الأمنية بالقضية أثناء تطورها خصوصا من الناحية التقنية. ولذلك فإنه 
من الأهمية مكان أن يكون لهذا الشخص مصداقية عالية داخل المنظمة بسبب كفاءته. 
ومهاراته الممتازة في التواصل الكتابي والشفهيء وخلفيته التقنية الكافية لفهم القضيةء 
أعضاء الفريق الآخرين. 

ويتم اختيار الأعضاء الفنيين في فريق الاستجابة للحوادث الأمنية £Us‏ على نشاط 
التهديد. على سبيل «JULI‏ إذا تم اختراق قاعدة بيانات أوراكل (Oracle)‏ بسبب استغلال 
حساب أحد مسؤولي النظام على نظام التشغيلء فإن أعضاء فريق الاستجابة للحوادث 
الأمنية قد يشمل: 

٠‏ شخصاً مطلعاً على نظام التشغيل وذلك لإلقاء نظرة على نظام التشغيل والسجلات, 
أو على الأقل استخراج السجلات للتحليل بواسطة شخص على دراية بأدلة البيانات 
الجنائية. 

٠‏ مسؤول قاعدة بيانات» وذلك لفحص قاعدة بيانات أوراكل» ومحتوياتهاء وسجلاتها 
في محاولة لتحديد ما إذا تم تغيير شيء ما في قاعدة البيانات. 

٠‏ مهندس شبكات لراجعة سجلات الجدار الناري à‏ محاولة لرصد حركة ال مرور 
الخارجة عن ال مألوف. 

٠‏ يمكن استدعاء موظف خدمات دعم فني إذا كانت الأجهزة المكتبية ستؤدي إلى 
اختراق حساب مسؤول النظام. 

فيا أن کون رن dolo‏ لتحواقة الاح موا كه يعت عن المنظمة أن 
تستثمر بعض الأموال لمساعدة فريق الاستجابة للحوادث الأمنية في المحافظة على كفاءته. 


أمن المعلومات وإدارة مخاطر تقنية المعلومات OAV‏ 
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فعندما تسوء الظروف الأمنية فإن فريق الاستجابة للحوادث هو خط الدفاع الأساسي. do‏ 
مثال إدارة التنمية الاقتصادية (EDA)‏ فقد جاء النص التالي في تقرير مكتب المفتش العام 
عن فريق الاستجابة للحوادث الأمنية التابع لوزارة التجارة: 

«إن عدم كفاية خبرة موظفي فريق الاستجابة للحوادث الأمنية التابع لوزارة التجارة 
وعدم معرفتهم بقدرات الاستجابة لحوادث إدارة التنمية الاقتصادية قد اعاق تقديم 
الإدارة لخدمات الاستجابة الكافية للحوادث. وكان معالج الحادث في فريق الاستجابة 
للحوادث الأمنيةء والذي يدير أنشطة الاستجابة الأولية للحادث. يتصف بالحد الأدنى من 
خبرات الاستجابة للحوادثء وليس لديه أي تدريب على الاستجابة للحوادث, s‏ يكن لديه 
ا مهارات الكافية لتقديم خدمات الاستجابة للحوادث. إن قلة الخبرة والتدريب والمهارات 
cool‏ بمعالج الحادث لطلب معلومات تسجيل الشبكة الخاطئة (أي القيام بالتحليل الخاطئئ 
للحادث) مما أدى بإدارة التنمية الاقتصادية للاعتقاد أن لديها انتشارا في البرمجيات الضارة 
على نطاق واسع ومن ثم الانحراف عن الإجراءات الإلزامية للاستجابة للحوادث. وعلى 
مكتب المدير التنفيذي للمعلومات التأكد من استيفاء جميع موظفي فريق الاستجابة 
للحوادث الأمنية التابع لوزارة التجارة للحد الأدنى من مؤهلات الاستجابة للحوادث الأمنية». 


فريق الدعم: 

ما يحدث أثناء الحادث الأمني أكثر من التجسس التقني. فالتواصل جانب مهم من 
واجبات فريق الاستجابة للحوادث الأمنية. وأحد السمات الخاصة بالحوادث مقارنة 
بعمليات تقنية ال معلومات الروتينية هي الرغبة الجامحة ملختلف الدوائر في الحصول على 
المعلومات. وغالباً ما تكون هذه الاحتياجات المعلوماتية غير منسجمة leo‏ فالمستخدم 
Lal‏ مهتم كثيرا معرفة موعد استعادة الخدمة» وضابط الامتثال مهتم بمعرفة ما إذا 
تم اختراق أي من ا معلومات. وإذا كان هناك احتمال لاهتمام عام أوسع بالحادثة, فإن 
وسائل الإعلام تكون مهتمة مباشرة بتعليقات xS]‏ ال مديرين التنفيذين في المنظمة وذلك قبل 
موعد الموجز الاخباري القادم. وعندما تتلقى هذه الاستفسارات فإنه لا يكون لديك غالبا 
معلومات كافية لتقديم رد على نحو مرضي (الشكل .)١-١١‏ 
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الشكل :)١-١١(‏ تفاعلات فريق الاستجابة للحوادث الأمنية 


إن إدارة تدفق المعلومات أمر مهم في مثل هذه الحالات. ومن المهم بشكل خاص 
مقاومة الرغبة بنقل التكهنات على أنها رأي الخبير ا معني بالأمر. وفي حين أنه من المفيد 
الاعتراف بالحوادث خصوصاً تلك الحوادث التي تؤثر في المستخدم «dll‏ فإنه أيضاً من 
المستحسن اتباع مفهوم «معرفة ما نحتاجه». ومعرفة ما نحتاجه هو Ja‏ لإدارة المعلومات 
يتم بناء عليه توفير المعلومات الضرورية فقط لأداء العمل. 


ومبدأ (معرفة ما نحتاجه) لا يعني أن تكون الأحداث سرية» بل إن الاعتماد المتسق على 
هذ المبدأ بقلل من المكالمات غير الضرورية من المديرين لموظفي تقنية ال معلومات» وذلك 
للحصول على معلومات «متميزة». أما بالنسبة للباحثين عن المعلومات فيمكن توجيههم 
إلى ا مواقع الإلكترونية أو إلى القنوات الأخرى المحددة في سياسة الاستجابة للحوادث الأمنية. 

وقبل تحديث هذه المعلومات ينبغي على فريق الاستجابة للحوادث الأمنية النظر في 
تدخل الإدارة القانونية لاتخاذ قرار بشأن ما يتم الكشف عنه وكيف يتم الكشف عنه. أما 
من جهة التواصل مع الجمهورء ينبغي النظر في الوحدات التالية: 

العلاقات الإعلامية: إذا كان لدى المنظمة مثل هذه الإدارة فإن جميع المعلومات 
التي يتم تبادلها مع المجتمع خارج المنظمة يجب أن تمر عبر هذه الإدارة لأن لديها الخبرة 
والدراية في كيفية التعامل مع مثل هذه الحوادث. 


أمن المعلومات وإدارة مخاطر تقنية المعلومات 0/3 


الفصل الحادي عشر 


المستشار القانوني: الإدارة القانونية تتحقق من تطبيق قوانين الإفصاح التابعة للولاية 
أو للدولة على حدث معين خصوصا عندما تكون المشكلة ذات علاقة بسرية البيانات. وقد 
يؤدي الإفصاح غير المقصود إلى عواقب مالية وعواقب عامة قاسية على المنظمة. 

إنفاذ القانون: في كل جامعة يوجد شرطة داخلية تابعة للجامعة. ولا يسمح لأي 
جهة إنفاذ قانون خارجية بالدخول إلى الحرم الجامعي» حتى وكالة الاستخبارات الأمريكية 
ومكتب التحقيق الفيدرالي» دون معرفة الشرطة الجامعية وال مستشار العام. 

وهذه الخطوات تقلل من إمكانية ترويج الشائعات. وترويج الشائعات المجهولة ال مصدرء 
والاضطراب العام خلال الاستجابة للحوادث. 


مبدأ «معرفة ما نحتاجه» شائع في الإعدادات العسكرية والإعدادات الجاسوسية كوسيلة للحفاظ 
على أمن الأفراد. وإذا كان العدو يعلم بأن الجندي أو الجاسوس لا ملك معلومات «d ju‏ فإن 


هناك احتمالاً بسيطاً à ji‏ أن يقوم العدو à‏ الاستثمار à‏ الجهد ا مطلوب للقبض على الجندي 
أو الجاسوس. 





التواصل: 

سنلقي نظرة على التواصل لأنه هثل جزءا أساسياً من الاستجابة للحوادث (شكل .)7-١١‏ 

الإبلاغ عن حادث للمتابعة هناك عدة طرق مختلفة قد تلفت انتباه فريق الاستجابة 
للحوادث الأمنية. 

في الإبلاغ المباشرء يقوم صاحب الأصول أو القائم عليها بالإبلاغ عن الحادث بنفسه. على 
سبيل «JULI‏ لنفرض أن لديك عادة حسنة تتمثل في البحث من وقت لآخر عن رقم الضمان 
الاجتماعي الخاص بك في جوجل. وفي أحد الأيام حصلت على رقم الضمان الاجتماعي 
الخاص بك في ملف وورد يتبع لمقرر دراسي أخذته منذ زمن طويل في جامعتك السابقة. 
وكمستخدم SÒ‏ ستقوم مباشرة بالبحث عن الشخص المسؤول عن أمن تقنية المعلومات 
وتبلغه بأن رقم الضمان الاجتماعي الخاص بك عرضة للخطر. 


0۹° أمن المعلومات وإدارة مخاطر تقنية المعلومات 


التعامل مع الحوادث الأمنية 


والوسيلة الأخرى هي الإبلاغ المجهول حيث تتيح المنظمات إمكانية شخص ما الإبلاغ 
عن مشكلة ما دون الكشف عن هويته حتى لا يكون خائفاً من الانتقام. وأحد الأمثلة 
على ذلك هي المزاعم بأن مسؤولاً رفيع المستوى يقوم بطباعة مواد إباحية على طابعات 
الجامعة. وهذا الادعاء سيدق كل أنواع الأجراس في الجامعة leu‏ من مخاطر العلاقات 
العامة ووصولاً إلى التحرش الجنسي وانتهاءً بالاستخدام غير الملائم لأموال الضرائب. وعلى 
افتراض أن هذا الادعاء صحيح» فمن الواضح أن الموظف لا يرغب في أن يُرى اسمه مرتبطاً 
بهذا الادعاء خوفا من فقدان وظيفته. 


الشكل (١١-؟):‏ تواصل فريق الاستجابة للحوادث الأمنية 





مكتب الدعم الفني قد تكون له علاقة بعملية الإبلاغ لأن موظف مكتب الدعم الفني 
قد يتعثر بشيء ما أثناء عملية حل المشكلات الفنية. على سبيل JUL‏ تسمح التهيئة 
الخاطئة ممحرك أقراص الشبكة ال مشتركة مدى كبر من الوصول للمستخدمين دون تطبيق 
مبدأ «معرفة ما نحتاج إليه». وربما يتلقى مكتب الدعم الفني 3 قري من aod‏ ااه 
الذي عثر على شيء ما. ويعد مكتب الدعم الفني جهة إبلاغ منفصلة وذلك لأن مكتب 
الدعم الفني يستلم تذاكر المشكلات الفنية بحيث يمكن ممجموعة كبيرة من الأشخاص 
الاطلاع على محتوى تلك التذاكر. تأمل في كمية التفاصيل التي تراها في تذكرة الدعم الفني 
الواردة ممكاتب الدعم الفني. وهذا يعود للتحكم في الرسالة ومبدأ «معرفة ما نحتاج إليه». 

lass‏ فإن أساليب الرقابة الذاتية مثل تقييم الثغرات الدوري وتحليل السجل قد يؤدي 
إلى إبراز بعض الاختراقات التي ' يجب التعامل معها. وأحد الأمثلة الشائعة على ذلك هو 
الملسؤول الذي اكتشف اختراقاً بسبب أن حمل وحدة المعالجة المركزية لجهاز الحاسب 
JI‏ كان ke Ule‏ مما أدى إلى مشكلات في الجاهوية. saga‏ استدعاء disd Jagati‏ 
المشكلة استنتج بسرعة أن عمليات بروتوكول نقل الملفات (FTP)‏ هي سبب ال مشكلة. 
ويحفظ موقع بروتوكول Jä‏ ال ملفات (FTP)‏ ملفات صوتية بصيغة (mp3)‏ للمهاجمين 


أمن المعلومات وإدارة مخاطر تقنية المعلومات 0۹۱ 


الفصل الحادي عشر 


وذلك ممشاركتها مع بعضهم» وهذا الموقع يُستخدم بشكل كبير مما أدى إلى الحمل العالي في 
وحدة المعالجة ال مركزية. وللأسف فإن هذا السيناريو شائع جدا. 

الإشعارات في أكثر الأحيان يبدأ الأشخاص في المنظمة بطرح الأسئلة عندما تصبح 
الات dal‏ معية العل» دهد يتطق JS cto‏ عاض ,عن celi AM‏ الاك هرر من 
الحادث الأمني. وإذا كان الحادث يؤثر في المديرين والقادة التنفيذين الآخرين فإن الضغط 
من أجل التواصل السريع واتخاذ قرار يكون أكبر. 

ويجب إشعار موظفي تقنية المعلومات وموظفي الدعم الفنيء وخصوصاً إذا كان 
الحادث يؤثر في جاهزية الأصول. ويتلقى مكتب الدعم الفني مكاممات هاتفية كثيرة من 
ا مستخدمين إذا كانت الحادثة تنطوي على أصل من الأصول المهمة و«الضرورية» بالنسبة 
للمنظمة. وف بيئة تقنيات ا معلومات اللامركزيةء مثل العديد من الجامعات البحثية 
في مختلف أنحاء الولايات bas‏ ينبغي أيضاً إبلاغ منظمات تقنية المعلومات الأخرى 
ليكونوا على حذر. على سبيل ال مثال» إذا كان الحادث يتعلق بهجمات رفض الخدمة التي 
أصبحت ممكنة بسبب الثغرات غير المصححة. فإن الوحدات الأخرى قد ترغب في إجراء 
تصحيحات طارئة قبل أن تعاني laf‏ من هجمات رفض الخدمة. 

كما يجب أيضاً إبلاغ الإدارة أولاً بأول. ومن الجيد إشعار المديرين وبقية القادة 
التنفيذيين بشكل دوري ولو م يحدث أي تغيير. وهذا سوف يُقلل من الاتصالات الهاتفية 
Le‏ فيها تلك المكالمات المباشرة للمهندسين المفترض تخصيص نسبة )* (AV‏ من جهودهم 
لاحتواء واستئصال المشكلة. ومن ال مفيد في هذه المرحلة الاستعانة بالرسائل النصية السريعة 
ورسائل البريد الإلكتروني المختصرة التي توضح تحديثات الحالة. 

كما يُصاب المستخدم (lal‏ والعميل بالتوتر عند عدم معرفتهم ما يجري. ويطرح في 
العادة سؤالان أثناء انقطاع الخدمة: متى يعود النظام إلى الخدمة؟ وما الذي حدث بالضبط؟ 
s‏ بعض الأحيان» تكون الإجابة صعبة عن هذين السؤالين. ففي شهر ديسمبر من عام ٠١٠١‏ 
cole‏ شركة فيسبوك (Facebook)‏ من انقطاع كبير في الإنترنت بسبب مشكلات في خدمات 
اسم المجال (DNS)‏ وعلى الرغم من أن انقطاع الخدمة استمر فقط YO‏ إلى YO‏ دقيقة» فإن 
المستخدمين من جميع أنحاء العام كانوا محبطين ومرتبكين. ويشهد بذلك التغريدة التالية 
وهي تغريدة من آلاف التغريدات التي أرسلت خلال انقطاع الخدمة (الشكل (QV‏ 


0۹۲ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


التعامل مع الحوادث الأمنية 


الشكل :(Y- VV)‏ تغريدة ل (DollSays)‏ أثناء انقطاع خدمة فيسبوك 


54 GTheDollSays 


Facebook users are roaming the streets in 
tears, shoving photos of themselves in 
people's faces and screaming 'DO YOU 
LIKE THIS? DO YOU??' 


zuzHERT ANNI 
(EDA) وللنظر في موضوع سوء التواصل بإمكاننا العودة إلى مثال إدارة التنمية الاقتصادية‎ 


السالف الذكر. وفي الواقع فإن الجزء الأول من التقرير يضع اللوم بشكل كبير على فشل وضعف 
التواصل بين وزارة التجارة وإدارة التنمية الاقتصادية كما يوضح ذلك النص التالي من التقرير: 


أرسل فريق الاستجابة للحوادث الأمنية التابع لوزارة التجارة إشعارين إلى إدارة التنمية 
الاقتصادية بخصوص الحادث الأمني. à‏ الإشعار الأول والذي كان à‏ السابع من ديسمبر من عام 
eb ۱‏ معالج الحادث à‏ فريق الاستجابة للحوادث الأمنية التابع لوزارة التجارة معلومات 
سجل الشبكة. لكن Mss‏ من تزويد إدارة التنمية الاقتصادية A Us‏ الأجهزة التي يُحتمل أن تكون 
clas‏ قام معالج الحادث وعن طريق الخطأ بتزويد إدارة التنمية الاقتصادية dél‏ تحتوي على 
65 جهازا داخل حدود شبكتها. وبعد استلام هذا الإشعار اعتقدت إدارة التنمية الاقتصادية أنها 


تواجه انتشارا كبيرا للبرامج الخبيثة وأن ذلك à jl‏ )167 جهازاً) امدرجة à‏ القائمة. 

كما أخطأ فريق الاستجابة للحوادث الأمنية التابع لوزارة التجارة في الإشعر الثاني. ففي 
الثامن من ديسمبر من عام 2701١‏ قام موظف تابع لشبكة Pob (HCHB)‏ فريق الاستجابة 
للحوادث الأمنية التابع لوزارة التجارة أن معلومات سجل الشبكة التي طلبها معالج الحادث في 
فريق الاستجابة لا تحتوي على معلومات عن الأجهزة المصابة. بل إن معلومات سجل الشبكة 
تحدد فقط أجهزة إدارة التنمية الاقتصادية التى توجد على جزء من شبكة .(HCHB)‏ وبعد 
ذلك قام الموظف التابع لشبكة (HCHB)‏ بالتحليل ا مناسب حيث توصل إلى أن جهازين فقط 
يحتويان على سلوك ضار حسب تصنيف مركز استجابة طوارئ الحاسب الآلي الأمريكي US-)‏ 
(CERT‏ ومع وجود هذه المعلومات الجديدة el‏ فريق الاستجابة للحوادث الأمنية التابع 
لوزارة التجارة بإرسال إشعار آخر عبر البريد الإلكتروني. 





أمن المعلومات وإدارة مخاطر تقنية ا معلومات 0۹۲ 


الفصل الحادي عشر 


لكن الإشعار الثاني لفريق الاستجابة للحوادث الأمنية التابع لوزارة التجارة كان غامضاء إذ مم يوضح 
هذا الإشعار أن الإشعار الأول لم يكن دقيقا. وعلى ذلك استمرت قناعة إدارة التنمية الاقتصادية بوجود 
انتشار واسع للبرمجيات الخبيثة يؤثر في النظام. وعلى وجه التحديدء فإن بداية الإشعار الثاني كانت 
تؤكد أن معلومات الإشعار الأول المقدمة عن الحادثة صحيحة. 


وعلى ذلك فسرت إدارة التنمية الاقتصادية عبارات الإشعار الثاني بأنها تأكيد للإشعار الأول في حين 
قصد معالج الحادث في فريق الاستجابة للحوادث الأمنية التابع لوزارة التجارة تأكيد أن إدارة التنمية 
الاقتصادية هي الإدارة التي تم تحديدها من قبل فريق استجابة طوارئ الحاسب الآلي الأمريكي US-)‏ 
(CERT‏ وفي الإشعار الثاني لم يقم معالج الحادث في فريق الاستجابة بتحديد أي خطأ أو تغيير في 
المعلومات المقدمة مسبقا. 

وعلى الرغم من أن مرفقات الإشعار الثاني حَددت بشكل صحيح أن جهازين فقط يحتويان على 
سلوك مشبوه» وليس VET‏ جهازا كما BLÍ‏ سابقا فريق الاستجابة للحوادث الأمنية التابع لوزارة التجارة 
إلا أن اسم مرفقات الإشعار الثاني كان يطابق اسم مرفقات الإشعار الأول مما يزيد الوضع غموضا. 


استمر سوء الفهم بين إدارة التنمية الاقتصادية وفريق الاستجابة للحوادث الأمنية التابع لوزارة التجارة 
ممدة خمسة أسابيع على الرغم من حدوث اتصالات إضافية بين الطرفين» إذ كان لكل منظمة فهم مختلف 
عن مدى انتشار البرمجيات الضارة. ويعتقد فريق الاستجابة للحوادث الأمنية التابع لوزارة التجارة أن 
هناك جهازين فقط تأثرا بالبرمجيات الضارة: في حين تعتقد إدارة التنمية الاقتصادية بإصابة أكثر من نصف 

أجهزتها بالبرمجيات الضارة. وقد أسهمت عدة عوامل في حدوث هذه التفسيرات المختلفة: 

٠‏ افترض فريق الاستجابة للحوادث الأمنية التابع لوزارة التجارة أن إدارة التنمية الاقتصادية قد فهمت 
أن الاشعار الثاني يحل محل الإشعار الأول «ls‏ لا يوجد سوى جهازين مصابين بالبرمجيات الخبيثة. 
لكن فريق الاستجابة للحوادث الأمنية م يتابع مع إدارة التنمية الاقتصادية للتأكد من أنها قد 
فهمت المعلومات الجديدة. 
استجابت إدارة التنمية الاقتصادية للإشعار الثاني بتقديم عينة تتكون من جهازين اثنين (من القاثمة 
المرسلة في الإشعار الأول والتي تحتوي على الأجهزة ذات السلوك المشبوه) وذلك لتحليل الأدلة 
الجنائية. ويعتقد فريق الاستجابة للحوادث الأمنية التابع لوزارة التجارة أن هذين الجهازين هما 
نفس الجهازين المحددّين في الإشعار الثاني. 
عندما أكد فريق الاستجابة للحوادث الأمنية التابع لوزارة التجارة أن d ue‏ الجهازيّن مُصابة 
بالبرمجيات الضارةء اعتقدت إدارة التنمية الاقتصادية أن فريق الاستجابة للحوادث الأمنية يؤكد 
إصابة جميع الأجهزة VET)‏ جهازاً) الموجودة في قائمة الإشعار الأول بالبرمجيات الخبيثة. 


م يحتفظ فريق الاستجابة للحوادث الأمنية التابع لوزارة التجارة بالإشعار الأول الذي كان يوضح 
قائمة تحتوي على VET)‏ جهازا)» كما أنه لم يوثق الأنشطة الأولية للاستجابة للحادث. وعلى ذلك 
فإن إدارة فريق الاستجابة للحوادث الأمنيةء عندما تدّخلت في أنشطة الاستجابة للحادث» لم تر أي 
سوء فهم قد وقع بين الطرفين. 





0۹6 أمن المعلومات وإدارة مخاطر تقنية المعلومات 


التعامل مع الحوادث الأمنية 


الامتثال: 


الامتثال هو عملية اتباع القوانين والأنظمة, والقواعد. والرموز القياسية» والالتزامات 
التعاقدية. ومن الناحية اللثالية تعد متطلبات الامتثال أفضل الممارسات التي eb‏ 
لتجنب أخطء الماضي المعروفة. لكن من الناحية العملية» الامتثال مهم OS‏ عدم الامتثال 
يؤدي إلى عقوبات يمكن تجنبها. وفي جميع الحالات عليك أن تكون على معرفة بمتطلبات 
الامتثال المرتبطة بالاستجابة للحوادث الأمنية والتي تنطبق على الوضع الذي أنت 443« كما 
عليك التصرف وفقاً لتلك المتطلبات. 

وكمثال على متطلبات الامتثال ال مرتبطة بالاستجابة للحوادث. فإن قانون إدارة أمن 
المعلومات الفيدرالي “(Federal Information Security Management Act)‏ يتطلب 
cay Ss‏ اتحادية Ada)‏ قرات olea!‏ الحواوث الأمنية. callis‏ من dile! Js JS‏ 
مدنية أن تعين نقطة تواصل أولية ونقطة تواصل ثانوية (point of contact)‏ مع فريق 
استجابة طوارئ الحاسب الآلي الأمريكي ”(US-CERT)‏ والإبلاغ عن الحوادث ها يتفق مع 
سياسة الاستجابة للحوادث التابعة للوكالة. 

وكمثال على الامتثال لقانون إدارة أمن المعلومات الفيدرالي (FISMA)‏ فإنه عند التأكد 
أو الاشتباه بضياع أو سرقة أو اختراق (معلومات تحدد الهوية الشخصية) في أنظمة البحرية 
الأمريكية يطلب من إدارة البحرية ما يلي: 

٠‏ استخدام نموذج )5211 (13/0PNAV Form‏ للإبلاغ الأولي ولإنشاء تقارير المتابعة. 


(US-CERT) الأمريي‎ JYI إرسال النموذج إلى فريق استجابة طوارئ الحاسب‎ ٠ 
خلال ساعة واحدة من حدوث الاختراق.‎ 

DON) إبلاغ مكتب الخصوصية التابع مدير تقنية ا معلومات في البحرية الأمريكية‎ ٠ 
خلال ساعة واحدة.‎ (CIO 

(Defense Privacy Office) إبلاغ مكتب الدفاع عن الخصوصية‎ ٠ 


(1) http:;//csrc.nist.gov/groups/SMA/fisma/index.html 


(2) http://www.us-cert.gov/ 
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الفصل الحادي عشر 


٠‏ إبلاغ البحرية الأمريكية (Navy)‏ أو مشاة البحرية الأمريكية (USMC)‏ أو مكتب 
البحرية للطب والجراحة (BUMED)‏ تبعا للتسلسل القيادي وحسب مقتضى الحال. 


الأجهزة والبرمجيات: 

من أجل أن يكون فريق الاستجابة للحوادث الأمنية فعالاً في عمله يحتاج للأدوات 
ا مناسبة لذلك. وتشمل عينة الأجهزة والبرمجيات التي أوصت بها إدارة مخاطر تقنية 
امعلومات )800 (rev2 61-NIST‏ للاستجابة للحوادث ما يلي: 

٠‏ أجهزة النسخ الاحتياطي وذلك لإنشاء صور للقرص أو للبيانات الأخرى للحادثة. 

٠‏ أجهزة حاسب آلي محمولة لجمع وتحليل البيانات وكتابة التقارير. 

crash) لأغراض «التحطم والإحراق»‎ JYI مكونات احتياطية لأجهزة الحاسب‎ ٠ 
مثل تجربة البرمجيات الضارة وغيرها من الأحمال الحاسوبية «غير‎ (and burn 
المعروفة».‎ 

٠‏ محللات الحزم لالتقاط وتحليل مرور الشبكة. 

٠‏ برمجيات تحليل الأدلة الجنائية الرقمية لاستعادة البيانات التي تم إزالتهاء وتحليل 
تعديلات الوصولء وإنشاء الجداول الزمنية (MAC)‏ وتحليل السجلء وغيرها. 

٠‏ ملحقات جمع الأدلة مثل الكاميرات الرقمية» ومسجلات الصوت» ونماذج تسلسل 
العهدة» وغيرها. 

وأحد أفضل أصدقائك خلال هذه العملية هو محرك البحث. على سبيل JEL‏ القصاصة 

البرمجية الخاصة بتسجيل الدخولء وشعار بروتوكول نقل الملفات (FTP)‏ قد تكشف عن 
معلومات قيمة مثل موقع ملفات السجلء وموقع ملفات التهيئة» وغيرها من الأدلة الهامة 
التي تساعد الفريق الأمني على بناء جدول زمني متكامل لهذا الحادث. 


011 أمن المعلومات وإدارة مخاطر تقنية المعلومات 


التعامل مع الحوادث الأمنية 


من بين 0 bəl‏ أمنياً تم تحليله في تقرير (Verizon Data Breach Report)‏ لعام 


۲ اتضح أن (XA)‏ من بين تلك الحوادث احتوت على اختراق» 5 )713( منها تضمنت 
d die o una‏ حن أن )01( al oa‏ الوادت Case‏ على ajo‏ من الأثنين ina‏ :ومن 
ثم فمن الطبيعي افتراض أن أعضاء فريق الاستجابة للحوادث الأمنية سيشاركون في معظم 
الأوقات في تحليل اختراق أو انتشار لبرمجيات خبيثة مما يستدعي استخدام الأدوات ا متخصصة 
على نطاق واسع. ولهذا خصصنا فصلاً كاملاً لهذا التحليل. 





التدريب: 

عام تقنية المعلومات ف تغير مستمر. فالتقنيات الجديدة والاختصارات الجديدة تواكب 
أصول جديدة وتهديدات جديدة. وتتمثل وظيفة المحلل الأمني في الحفاظ على معرفة 
الأصول والتهديدات الجديدة خصوصاً تلك التي عرض المنظمة للمخاطر. وقد يتخصص 
الع cya ode Ula à‏ المخالات asa‏ كع الأذلة ated‏ 959 يحب ايكون 
لدى الأعضاء الأساسيين في فريق الاستجابة للحوادث الأمنية معرفة dele‏ بجميع الجوانب 
الأمنية. ويجب أن يكون الأعضاء قادرين على الابتعاد عن وظائفهم اليومية والانضمام 
لوظائف الفريق الأمني» كما يجب أن يكون لديهم نظرة شاملة للمنظمة والأصول والضوابط 
والتهديدات والنتائج. 

وتعد الشهادات الأمنية بداية جيدةء وذلك ليس لأنها تحتفظ cole‏ الصفحات من 
المعلومات التي تلقى élle‏ مثل الذي يُطلب منه أن يشرب من خرطوم coll‏ بل لأنها 
توفر مجموعة من المعلومات الأساسية في جميع cale‏ الأمن خضوصاً الأشياء التي لم 
تخطر ببالك إلى الآن. وتبنى الشهادات الجيدة على المعلومات التمهيدية المقدمة في هذا 
الكتاب. 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات 0۹۷ 


الفصل الحادي عشر 


وأحد الشهادات المقدمة من منظمة (ISC)‏ هي شهادة Certified Information)‏ 
(System Security Professional‏ أو اختصارا .(CISSP)‏ وهذه الشهادة تعتمد على ما يعرف 
بالمعارف العامة (Common Body of Knowledge)‏ أو ا معلومات الهامة للمتخصصين في 
أمن المعلومات في جميع أنحاء العام Le‏ في ذلك: 

ضوابط الوصول. 

أمن الشبكات والاتصالات. 

حوكمة أمن المعلومات وإدارة ا مخاطر. 

تطوير تشفير البرمجيات. 

تصميم وهيكلة أمن المعلومات. 

العمليات الأمنية. 


استمرارية الأعمال والتخطيط للتعافي من الكوارث. 


اللوائح والقوانين والتحقيقات والامتثال. 


الأمن المادي (البيئي). 





الجوانب الأخرى من التدريب تستحق الاهتمام أيضا. فموظفو العلاقات العامة, على 
سبيل المثالء يجب أن يكون لديهم تعليمات حول كيفية التعامل مع وسائل الإعلام متضمناً 
ذلك التحكم في الرسالة وأهمية عدم الكشف عن المعلومات الحساسة. إن الكشف عن 
التفاصيل التقنية فيما يتعلق بكيفية اكتشاف انتشار البرمجيات الخبيثة والتحكم فيهاء 
على سبيل اممثالء قد تنبه قراصنة الحاسب ومطوري البرمجيات الخبيثة إلى كيفية تجنب 
نفس الضوابط في الإصدارات المستقبلية للبرمجيات الخبيثة. وفي بعض الحالات يكون ذلك 
التحكم في الرسالة معاكسا لمبدأ التواصل الفعال والكامل مع الجمهور. وتقوم العلاقات 
العامة بعملية الموازنة عندما يتعلق الأمر بالاستجابة للحوادث. بشكل مشابه لتطبيق 
الضوابط الأمنية: الكشف عن الكثير قد يكون مشكلةء والكشف عن القليل قد يجعل 


الأمور تزداد desi‏ 


0۹۸ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


التعامل مع الحوادث الأمنية 


الاكتشاف والتحليل: 

الخطوات في القتسم السابق تضمن أن المنظمة مستعدة للحادث الأمني عند حدوثه. 
وفي هذا القسم سننظر في العملية العامة لاكتشاف وتحليل الحوادث الأمنية. وسوف نلقي 
في الأقسام اللاحقة من هذا الكتاب نظرة تفصيلية على بعض تقنيات تحليل الحوادث. 


التوثيق الأولي: 

وفقاً لإدارة مخاطر تقنية المعلومات )800 ((rev2 61-NIST‏ يجب أن يتأكد أعضاء 
فريق الاستجابة للحوادث الأمنية أن توثيق الحادث يتم بالشكل الصحيح» وأن التوثيق يبدأ 
عند اكتشاف الحادث مباشرة. وبينما يتطور التوثيق أثناء عملية الكشف والتحليل» يجب 
أن يحتوي توثيق الحادث على الأقل على معلومات حول العناصر التالية: 


الوضع الحالي للحادث (جديد. متقدم» تم إرساله للتحقيق: تم «al‏ وما إلى ذلك). 
ملخص الحادث. 

امؤشرات المتعلقة بالحادث. 

الحوادث الأخرى ذات العلاقة بهذا الحادث. 

الإجراءات التي تم اتخاذها بشأن هذا الحادث من قبل جميع معالجي الحوادث. 
تسلسل العهدة إذا كان ذلك قابلا للتطبيق. 

تقييم الأثر المتعلق بالحادث. 

معلومات الاتصال للأطراف المعنية الأخرى (مثلاً مالك النظام» مسؤولي النظام). 
قائمة الأدلة التي جمعت خلال التحقيق في الحادث. 

ملاحظات معالجي الحادث. 


الخطوات التالية التي يجب اتخاذها (مثلاً إعادة بناء المضيفء ترقية التطبيق). 
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الفصل الحادي عشر 


اكتشاف الحادث: 

فيما سبق مرت المنظمة بعملية التحضير للحادث الأمني. وقد تم القيام بالتخطيط 
والتدريب وشراء بعض المشتريات. كما تم إعداد التحليل الخاص بالأجهزةء وتهيئة العلاقات 
العامة aod odo.‏ قان فزق الاما a sd‏ لن يخطر للاسظار كيرا aba‏ 
على المحك. ولكن كيف ستدرك المنظمة أن هناك أمرا ما ليس طبيعياً؟ وكيف سيتم 
الكشف عن الحادث؟ 


التغييرات المرئية للخدمات: 

إن أحد أكثر الطرق شيوعاً لاكتشاف الأخطاء ف الأنظمة أو البيانات في المنظمات هي 
اكتشاف التغييرات اطرئية à‏ النظام أو البيانات. ويعد تشويه مواقع الإنترنت مثال de‏ 
ذلك. على سبيل JELI‏ سوف يلاحظ مستخدم الموقع الإلكتروني بسرعة أن هناك lal‏ غير 
طبيعي عند زيارة موقع إلكتروني ويتم استقباله بالصفحة الموضحة في الشكل .)6-1١(‏ 


الشكل JU :(£- VV)‏ على تشويه موقع إلكتروني 


الهيا 
von ruye Arri armos "endum md ce‏ مسد دون Qer Lado heee code] code‏ 
um payata St‏ 





ve‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


التعامل مع الحوادث الأمنية 


Las‏ لتقرير اختراق البيانات (VERIS)‏ لعام ۲۰۱۲ فإنه يتم الإبلاغ عن (ZAY)‏ من 
الاختراقات بواسطة طرف ثالث. ولأن هذه النسبة المئوية مهمة دا Ue»‏ نضعها في 
منظور عملي. فبغض النظر عن نوع البرمجيات التي يحاول مورد البرمجيات الأمنية إقناعك 
uil‏ «الحل السحري» لحماية أصول المنظمة ومراقبتهاء هناك نسبة كبيرة أن يتم الإبلاغ 
بواسطة طرف ثالث عند حدوث اختراق. 


مراقبة الأداء: 

أما السيناريو التقليدي الآخر فهو التأثير على الأداء. وفي بعض «oue I‏ ونتيجة مباشرة 
أو غير مباشرة للبرمجيات الخبيثة اممثبتة بواسطة قراصنة الحاسب» قد يصبح نظام الحاسب 
الآلي biy‏ بحيث يكون ذلك Bek‏ من قبل ال مستخدمين أو مسؤولي النظام. 

وأحد الاستخدامات الشائعة لأجهزة الحاسب الآلي المخترقة هو استخدامها في التخزين 
وجعلها كمستودع بيانات» إما للتبادل غير المشروع لملفات الموسيقا والأفلام» أو لتبادل المواد 
الإباحية. ويبدو أن تبادل اللواد الإباحية قد حصل على الكثير من الاهتمام من قبل قراصنة 
الحاسب ومن قبل المندسين (lurkers)‏ (وهم الأشخاص الذين يترددون على دوائر القرصنة 
لكن لا يقومون بمشاركة البيانات). 

وبمجرد أن يتعرض جهاز الحاسب الآلي لبرمجيات خبيثة ويتم مشاركة مواد إباحية عن 
طريق ذلك الجهازء سيلاحظ المستخدم بسرعة أن أداء الجهاز قد انخفض لأن معظم وحدة 
ا معالجة المركزية وعرض النطاق الترددي لشبكة الحاسب الآلي تستخدم في تحميل تلك 
امواد. وهذا يتطلب عادة استدعاء مكتب الدعم الفني. 


e‏ السلوك الطبيعي 


مثلاً UN‏ بعض أجهزة الا Js‏ المكتبية . daa] à‏ الماع deo‏ تباجا إل 


الساعة الخامسة مساءً من يوم الإثنين إلى يوم الجمعة فقط. لذلك فإن اكتشاف محاولة 


تسجيل دخول لتلك الأجهزة في الساعة الثانية صباحاً من يوم السبت يجب أن يُطلق جميع 
أنواع الإنذارات التحذيرية. 





أمن المعلومات وإدارة مخاطر تقنية ا معلومات 1۰۱ 


الفصل الحادي عشر 


مراقبة المعلومات الشخصية: 

ونتيجة مباشرة لجميع الاختراقات الكبيرة في ا منظمات الضخمة والتغطية الإعلامية لتلك 
الهجمات» أصبح الأشخاص أكثر اهتماما بمعلوماتهم الشخصية. وكجزء من هذه العملية 
قد يلجأ المستخدمون إلى استخدام جوجل أو أي محرك بحث آخر للبحث عن معلوماتهم 
الشخصية مثل رقم الضمان الاجتماعي (الشكل .)0-١١‏ 


الشكل :)0-١١(‏ البحث عن المعلومات الشخصية 


- le 
Coogle 


وكان من الشائع قبل عشر سنوات أن يقوم أعضاء هيئة التدريس بتعليق درجات 
طلابهم على أبواب مكاتبهم. وبدلا من استخدام الأسماء من أجل حماية هوية الطالب. 
كان أعضاء هيئة التدريس يستخدمون أرقام الضمان الاجتماعي. 

OVI‏ وبعد مرور عشر سنوات. ما زال لدى أعضاء هيئة التدريس نفس وثائق الوورد 
(MS Word)‏ التي كانوا يستخدمونها سابقا لإلصاقها على أبواب مكاتبهم والتي تحتوي 
على أرقام الضمان الاجتماعي والدرجات. وفي بعض الأحيانء ينتهي المطاف بهذه الملفات 
المنسية في أماكن تقوم محركات البحث بالتقاطها وعرضها للعام. 

خدمة تنبيهات جوجل 


خدمة تنبيهات جوجل هي أداة تقدمها جوجل لمساعدة المستخدمين على تعقب الموضوعات ذات 
الاهتمام. ويتمثل الاستخدام الجيد لهذه الأداة من خلال إعدادها لتقدم لك تنبيها في كل مرة يتم 


فيها فهرسة اسمك بواسطة محرك البحث جوجل. مثلاً بإمكانك إدخال الاستعلام (John Doe)‏ 
ومن ثم توجيه خدمة تنبيهات جوجل لإرسال رسالة بريد إلكتروني في كل مرة يتم فيها العثور على 
صفحة إلكترونية جديدة تحتوي على هذا الاسم. 





VY‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


التعامل مع الحوادث الأمنية 


مراقبة سلامة ا ملفات: أدوات سلامة الملفات هي تطبيقات برمجية تراقب سلامة الملفات 
في نظام أجهزة الحاسب الآلي. وإذا تم إحداث تغييرات في أحد الملفات. فإنه سيتم إخطار 
مسؤول النظام tlc‏ غاا فا io‏ هذه esl o‏ جو من dod] adl‏ اا وة 
بأنظمة اكتشاف التسلل المعتمدة على المضيف Host-based Intrusion Detection)‏ 
(Systems‏ أو اختصاراً (HIDS)‏ وهذه الأنظمة معتمدة على المضيف لأنها تعمل على 
جهاز الحاسب الآلي المضيف. وذلك في مقابل أنظمة اكتشاف التسلل المعتمدة على الشبكة 
(Network-based Intrusion Detection Systems)‏ والتي يشار إليها عادة ب (IDS)‏ 

خذ على سبيل JULI‏ حالة تشويه مواقع الإنترنت. فإذا تم مراقبة صفحة index.)‏ 
(html‏ (أو املف الأساسي الذي يعادلها) بواسطة أدوات سلامة الملفات» فبمجرد أن تتأثر 
سلامة الصفحة (من خلال تغيير المحتوى) سيتم إشعار مسؤول النظام فوراً. وتحتوي 
العديد من هذه الأدوات على خيار لاستعادة الملف تلقائيا عندما يتم اكتشاف التغيير. 
ومن الأمثلة الشائعة على الأدوات التي تحتوي على تطبيقات لمراقبة سلامة الصفحات: 
(OSSEC)‏ (الشكل 1-۱1(« و (Samhain)‏ و .(Tripwire)‏ 

الشكل :)1-١١(‏ أداة شائعة الاستخدام في مراقبة ا ملفات (OSSEC)‏ 
£j OSSEC 07,‏ 


Available agents: Latest modified files: 


Latest events 
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وثلقي أدوات (مراقبة سلامة الملفات) الضوء على مفهوم الإيجابي الخاطئ False)‏ 


أمن المعلومات وإدارة مخاطر تقنية المعلومات 1۳ 


الفصل الحادي عشر 


إجراء المزيد من التحقيقات يتبين أنه ليس مشكلة (أي يكون خاطئا). وقد تعلمت أيضاً 
هذا ا مفهوم في مجال الإحصاء بوصفه خطأ من النوع الثاني. وهذا المفهوم موجود في العديد 
من calgal‏ وا كتاف الأمنية» يدا مى الخد dy]‏ ووضولا إل مامات iial‏ 

Ul‏ سافن وفوا ذا علاقة بمفهوم الإيجابي الخاطئ في أدوات سلامة الملفات. 
فعند تثبيت الأداة يتم سؤال مسؤول النظام عن الملفات التي يجب مراقبتها. وهذا القرار 
يجب اتخاذه بعناية. على سبيل JEI‏ ما الذي سيحدث إذا قررت مراقبة سلامة ملف 
سجل الوصول التابع لخادم الشبكة؟ ملف سجل الوصول التابع لخادم الشبكة يتغير في كل 
مرة يقوم شخص ما بزيارة موقعك الإلكتروني. وعلى ذلك فإن أجراس التحذير ستعمل في 
كل مرة يكون لديك زائر - وهذه الإنذارات من نوع إيجابي خاطئ. 

às‏ حين أن ذلك قد يكون يننا es à‏ الإلكترونية البطيئةء أما في المواقع 
الإلكترونية الأكثر انشغالاً فإنك ستقوم زتعا badly sab‏ إذا هل aestas‏ 
ذلك الملف المراقبة؟ الإجابة كلا. لكن ماذا عن مراقبة ملف التهيئة؟ أو ملف index.)‏ 
(html‏ على موقع الإنترنت؟ هذه الملفات قد تستحق المراقبة. 


الإبلاغ من شخص مجيول: في بعض الأحيان قد يتردد الأفراد في الإبلاغ عن الأحداث 
اة B‏ من الانتقام. ومعظم المنظمات لديها وسائل للإبلاغ عن الأحداث المحتملة 
أو الأحداث Sgan‏ دون تحديد هوية gal‏ وقد تشمل هذه الأحداث على سبيل 
JU XLI‏ حوادث الاحتيال المحتملةء والاستخدام غير الملائم للبنية التحتية الحاسوبية من 
قبل المديرين وغيرهم من الموظفين الإداريين. وادعاءات التحرش الجنسي على رسائل البريد 
الإلكتروني» وغيرها. 

وف كثير من الحالات» تتطلب السياسات الداخلية للمنظمة القيام بتحقيق عند استلام 
أي من تلك الادعاءات عبر آليات الإبلاغ ا مجهولة المصدر. وفي حين أن اتباع مثل تلك 
السياسة في العام المثالي أمر جيد» إلا أنه يجب على المنظمات أن تكون ملتفتة إلى حقيقة 
أن الأفراد ذوي المناصب غير محبوبين في بعض الأحيان. إن الاتباع الأعمى والمتكرر لتلك 
الادعاءات دون التحقق المناسب هكن في حد ذاته أن يكون تهديداً ضد الأصول الوظيفية 
pakl)‏ على سبيل المثال) مما يضع المنظمة في خطر. 


VÉ‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


التعامل مع الحوادث الأمنية 


تحليل السجل: وهي عبارة عن سجلات slof‏ الجهاز. والسجلات هي أفضل أصدقاء 
ا محلل الأمني. وبخصوص اكتشاف الحادث الأمني» تستخدم السجلات من قبل مسؤولي 
الأمن لتحديد الوقت الذي تعرض فيه النظام للهجوم» وتحديد الإجراءات التهديدية التي 
استخدمت من قبل قراصنة الحاسب (الشكل .)۷-١١‏ 


الشكل :(V- VY)‏ السجلات التقليدية المدمجة 


x 
as 
- 


وفي نظام لينكس تقع معظم السجلات في دليل .(var/log/)‏ كما يمكن التحكم في 
معظم سجلات نظام التشغيل من خلال حارس (syslog)‏ والرسائل الموجودة في JJ»‏ 
(var/log/)‏ هي أول ما يقوم المحلل الأمني بتحليله بحثاً عن المخالفات الأمنية مثل رسائل 
الخطأ الغريبةء وإعادة التشغيل غير النظامي» وغيرها. وسنتناول تحليل السجلات بمزيد 
من التفصيل في الفصل اللاحق (الشكل .)۸-١١‏ 

وبخصوص عملية الاكتشافء قد يكون لدى منظمتك أحد حلول دمج السجلات 
(Log Consolidation)‏ أو يكون لديها مدير متكامل للحوادث الأمنية Security)‏ 
(Incident Event Manager‏ أو اختصاراً .(SIEM)‏ في حالة استخدام أحد حلول دمج 
السجلات» فإنه يتم دمج السجلات من أنظمة وتطبيقات متعددة في خادم منفصلء وذلك 
للمراقبة والتحليلات الأمنية وتحليلات الأداء. أما عند استخدام أنظمة المدير المتكامل 
للحوادث الأمنية (SIEM)‏ فإنه يتم ضم الدمج مع التحليل حيث تبحث تلك الأنظمة عن 
LLII‏ الشاذة في الأنظمة المتعددة لتحديد التهديدات والاختراقات اممحتملة. 





أمن المعلومات وإدارة مخاطر تقنية ا معلومات 1۰0 


الفصل الحادي عشر 


ves‏ كين doe‏ الیل ا من المهم تزامن جميع الساعات في جميع الخوادم 
التي تغذي سجلاتها إلى خادم دمج السجلات. وهذا التزامن مهم حتى يمكن التأكد من 
أن تفسير الجداول الزمنية تم بالشكل الصحيح» وذلك عند قيام قراصنة الحاسب باستطلاع 
ومهاجمة واختراق أنظمة متعددة. نظأنظذأءظ 


الشكل :)6-١١(‏ تحليل السجلات 


Escape character i T] 
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ولدمج السجلات ميزة أخرى. فبالإضافة إلى إمكانية النظر في سجل الأحداث في مكان واحد 
مما يجعل من السهل تحليل البيانات للبحث عن حوادث محددة, فإنه يتيح أيضا نسخ بيانات 
السجل إلى خادم آخر مما يحافظ على سلامة السجل. وهذا مفيد بشكل خاص عند البحث 


عن أدلة الاحتيال الذي يرتكبه أشخاص مملكون امتيازات إدارية. وبشكل ele‏ فإن مدير قواعد 
البيانات يستطيع تغطية آثاره في خادم قواعد البيانات» لذا فإن أذونات مدير قواعد البيانات 
على خادم دمج السجلات أو خادم (SIEM)‏ ينبغي أن تكون أذونات قراءة فقط. 





1۰7 أمن المعلومات وإدارة مخاطر تقنية المعلومات 


التعامل مع الحوادث الأمنية 


لوحات إدارة حماية نقطة النهاية: حماية نقطة النهاية (End point protection)‏ أو 
اختصارا (EPP)‏ هي صورة متطورة من برمجيات الحماية من الفيروسات. وحماية نقطة 
النهاية تعني أكثر من مجرد رقابة وحماية نظام الحاسب الآلي من الإصابة بالفيروسات. 
وعادة تشمل حلول حماية نقطة النهاية ما يلي: 
ه٠‏ الحماية من الفيروسات والبرمجيات الخبيثة التي «تحاول تشيت نفسها» 2 جهاز 
الحاسب JI‏ وتعرف هذه الحماية عادة بحماية «الوصول» أو حماية «الوقت 
الحقيقى». 
٠‏ الحماية من الفيروسات مع قدرة إزالة و/أو عزل الملفات التي يتم العثور عليها في 
جهاز الحاسب «JSI‏ والتي تم تحميلها من الإنترنت» سواء تم تثبيتها el‏ م يتم ذلك 
من خلال ge‏ «عند الطلب» أو ا ملسح «المجدول». 
٠‏ حماية الجدذر النارية. 
٠‏ كشف التسلل المعتمد على المضيف (اختياري). 
٠‏ سلامة eta‏ (اختياري). 
٠‏ سرقة الهوية (اختياري). 
٠‏ مراقبة وصول الأطفال (اختياري). 
وكما ترى فإن مجموعات حماية نقطة النهاية (EPP)‏ تختلف عن المجموعة ا لمخصصة 
فقط للحماية من البرمجيات الضارة. وفي كثير من الأحيان فإن مجموعة حماية نقطة 
النهاية (EPP)‏ تحتوي على «روابط» لإدارة تطبيقات الخوادم الأخرى مثل البريد الإلكتروني» 
وخوادم الشبكة وغيرهاء مما يجعلها قريبة من حلول أنظمة المدير المتكامل للحوادث 
الأمنية (SIEM)‏ وفي حين أن التكلفة والجهد لتثبيت وتهيئة نظام (SIEM)‏ أو نظام دمج 
السجلات تكون مانعا لكثير من المنظمات» فإن حماية نقطة النهاية (EPP)‏ تكون متاحة 
بسعر تراخيصها. ولأن المنظمات الصغيرة تستثمر في حماية نقطة ilgil‏ فإن لدى تلك 
السجلات (الشكل .)1-١١‏ 


أمن المعلومات وإدارة مخاطر تقنية المعلومات vy‏ 


الفصل الحادي عشر 


الشكل :)9-١١(‏ مثال على حماية نقطة النهاية 


Forefront 


Protection Server Management Console x 
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التحقيقات الداخلية: وأخيراً تجدر الإشارة إلى تلك الأحداث التي يتم العثور عليها من 
قبل التحقيقات الداخلية. وجدير بالذكر أننا نتحدث عن التحقيقات التي تنشأ من قبل 
قسم التدقيق الداخلي» أو مدققي الولاية (إذا كان العمل في وحدة تابعة للولاية)» أو الموارد 
البشرية» أو شرطة الجامعة» أو المستشار العام. وفي بعض الأحيان قد تبدأ تلك التحقيقات 
بشيء بعيد تماما عن المنطقة التقنية لكن يحتاج إلى مساعدة إدارة تقنية ا معلومات لمزيد 
من الأدلة. على سبيل JELI‏ إذا قام موظف مفصول من منظمتك بمقاضاة المنظمة بسبب 
إنهاء العمل بصورة غير نظامية» فإن المستشار العام قد يطلب منك جمع كل رسائل البريد 
الإلكتروني التي تمت بين المديرين التنفيذين في المنظمة والتي تم فيها مناقشة هذا ا موضوع. 

وهناك احتمال آخر بأن يقوم المدقق الداخلي بالتحقيق في عمليات الإدارة وأن يجد 
(معلومات تحدد الهوية الشخصية) محفوظة في النظام دون موافقة المكتب الأمني مما 
يخالف سياسة المنظمة. وفي هذه الحالة» من المهم العثور على جميع المعلومات المحفوظة 
بشكل غير منظم وتصنيفها وتطبيق الضوابط المناسبة قبل القيام بالتدقيقات الأخرى (مثل 
تدقيق البطاقات الائتمانية التابع لصناعة بطاقات الدفع- (Payment Card Industry‏ 
كما يتطلب معرفة المشكلات الخطرة الأخرى التي تهدد البيانات. 


"A‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


التعامل مع الحوادث الأمنية 


تحليل الحوادث الأمنية: 

مجرد أن يكون هناك اتفاق على «حدوث مشكلة أمنية» فإن فريق الاستجابة الأمنية 
سيبدأ في عملية تحليل الحادث. والهدف من التحليل هو اكتشاف جميع الأحداث السلبية 
التي تشكل منها الحادث من أجل الإدارة الفعالة والصحيحة للمرحلة المقبلة - الاحتواء 
والاستئصال. وإذا م يتم تحليل الحادث بشكل دقيقء فإن المنظمة قد تتعثر في دائرة من 
الاكتشاف والاحتواء في كل دورة مما قد يجلب الضرر على خصوصية وتكامل وجاهزية 
الأصول ال معنية. 

ومن الواضح tenor aidera‏ لتغير الحالة» وفي الحياة العملية يجب أن تحاول 
قياس العائد الذي يمكن أن تحصل عليه من التحليل. على سبيل «JULI‏ دعنا نفترض وجود 
انتشار لبرمجيات خبيثة في أجهزة الحاسب الآلي في قسم الكيمياء. وعلى ما يبدو أنه تمت 
إصابة عشرة أجهزة في المختبر مفتوح الاستخدام بنفس سلالة البرمجيات الخبيثة. واتضح 
أن جميع الأجهزة احتوت على الباب الخفي نفسه. والروبوتات نفسهاء ورقم المنفذ نفسه. 
وإذا كان لديك الوقت وام موارد de LI‏ فإنه من المناسب أن تلقي نظرة فاحصة على جميع 
الأجهزةء وتبحث عن جميع سجلات الأبواب الخفيةء وتتأكد مما إذا كان هناك أي آثار لتواصل 
بشري حقيقي في استخدام النظام. من جهة أخرىء ولأن الأجهزة كلها في المختبر مفتوحة 
الاستخدام وليس فيها أي بيانات شخصية» فإنه من الأسهل فحص us‏ واحدة من الأجهزة. 

وعد محركات البحث على الإنترنت مصدراً مهم للمعرفة التي يمكن الاستفادة منها 
بسهولة من خلال الحصول على معلومات أثناء التحليل. ويمكن البحث عن كل شيء leas‏ 
من لافتات برتوكول نقل الملفات (FTP)‏ وانتهاءً بالروبوتات» وذلك للحصول على معلومات 
بخصوص تثبيت البرامج الخبيثة Aus]‏ 

وأخيراً وكجزء من التحليل» يجب أن تكون قادراً على تحديد المستفيدين, وكذلك تحديد 
الأصول المقيدة والأصول الأساسية التي يمكن أن تتأثر من جراء الحادث الأمني. هذه 
الأصول ستكون أهدافك الرئيسية التي تتطلب حماية واستئصالاً وفقاً للمرحلة التالية من 


إدارة الحوادث الأمنية. 


أمن المعلومات وإدارة مخاطر تقنية ال معلومات v4‏ 


الفصل الحادي عشر 


الاحتواء والاستئصال والاسترداد: 


الاحتواء: هو منع انتشار الضررء وعادة ينطوي ذلك على فصل أجهزة الحاسب الآلي 
المصابة من الشبكة. وف العديد من الحوادث الأمنية نصل إلى نقطة من خلال التحليل 
يستحق فيها القيام بالاحتواء قبل أن يتم الانتهاء من كامل التحليل. وهذا يحدث عندما 
يكون المحلل واثقا من أن الأحداث الجارية تستحق اتخاذ إجراء معين» و/أو عندما يحدد 
ا محلل أن الخطر على الأصول عال la‏ في حال استمرار الأحداث كما هي. وها أن الاحتواء 
ينطوي على إغلاق مؤقت للخدمات» فإن هذا القرار يحتاج إلى تفكير متأن في موازنة 
الخسائر المتوقعة من الخدمات المتعطلة بالخسائر المتوقعة من انتشار JL oa‏ الأجهزة 
الأخرى. وهذا التفكير نفسه المتأن يكون bolhs‏ عندما ننظر في عملية الاستئصال والتي 
يمكن تعريفها بأنها إزالة الأسباب التي أدت إلى الاحداث السلبية (الشكل .)٠١-١١‏ 

الشكل :)٠١-١١(‏ الجدول الزمنى للاحتواء والاستئصال والاسترداد 
الاستتصال | الاحتواء ) 








١‏ سول الزمني لتحليل الحادث 


( الاسترداد الاستتصال‎ ١ 








وبالعودة إلى مثال المختبر مفتوح الاستخدام» فبمجرد الانتهاء من تحليل dsl‏ جهاز 
حاسب آلي يكون بالإمكان مسح البرمجيات وإعادة تثبيتها من جديد. وهذه هي نقطة 
الاسترداد والتي يتم فيها إرجاع جهاز الحاسب الآلي إلى امالك لاستخدامه في العمليات 
العادية. وإذا تضمنت هذه الحالة اختبار جهاز أحد أعضاء هيئة التدريسء فقد ينظر 
فريق الاستجابة للحوادث الأمنية في الحصول على نسخة من القرص الصلب ومن ثم مسح 
جميع ما في الجهازء والتأكد من عمل نسخة احتياطية للبيانات» ومن ثم إعادة تثبيت نظام 
التشغيل. وعن طريق الحصول على نسخة من القرص» يكون بالإمكان استرداد الجهاز 
بسرعة دون المساس مهام المستخدم النهائي في حين أن فترة التحليل تستمر. 


11۰ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


التعامل مع الحوادث الأمنية 


وبالنظر إلى مثال آخر أكثر أهمية. ففي أثناء التحليل إذا اكتشف فريق الاستجابة 
للحوادث الأمنية أن الباب الخفي مفعل ويتم استخدامه لنقل (معلومات تحدد الهوية 
الشخصية) من خادم مخترق إلى مضيف خارج الحرم الجامعيء فعند ذلك ينبغي قطع 
الاتصال في أقرب وقت ممكن. وبعد ذلك يمكن التعامل مع الباب الخفي إما من خلال 
قوائم التحكم في الوصول للشبكة أو الجدر النارية أو الإزالة الفعلية للباب الخفي من 
الخادم» وذلك قبل التحليل. وفي جميع الحالات فإن أولوية خصوصية الأصول وتكاملها 
وجاهزيتها يجب أن gÈ‏ قبل احتياجات المحللين. 


يجب أن يكون فريق الاستجابة للحوادث الأمنية على حذر من تأثير التعامل مع أحد الأصول 
المشاركة في الحوادث السلبية. وهنا نذكر موقف يتم فيه تغيير القرارات بشكل جذري كلما 
توفرت البيانات للتحليل. 

الساعة ٠:٠١‏ بعد الظهر: تم العثور على باب خفي في أحد أجهزة الحاسب الآلي في كلية الطب. 
أثناء التحليلء لا بد أن تتبادر بعض الأمور إلى الذهن على الفور. فكلية الطب هي أحد الكليات 
التي لديها متطلبات للامتثال ل (قانون إمكانية نقل التأمين الصحي والمساءلة) (HIPPA)‏ 
المرتبط بالبيانات. وعليك التأكد سريعا مما إذا كان الجهاز يحتوي على بيانات ذات علاقة 
بقانون .(HIPPA)‏ وإذا كان الجهاز يحتوي على تلك البيانات وجب التعامل معها على الفور. 
الساعة ١:٠١‏ بعد الظهر: لا يحتوي الجهاز على بيانات ذات علاقة بقانون (HIPPA)‏ ويتبع 
بعد مكاممة هاتفية سريعة إلى ال مسؤول الداخلي تبين أن الجهاز لا يحتوي على بيانات ذات علاقة 
بقانون (HIPPA)‏ وهكن لفريق الاستجابة للحوادث الأمنية الانتقال للعمل إذا لزم الأمر. ما 
هي أنشطة التهديد الذي يشكلها هذا الجهاز؟ 


الساعة ٠:١‏ بعد الظهر: تم معرفة أن جهاز الحاسب SYI‏ جزء من مشروع حصول الجامعة 
على منحة تُقدر ب ٠٠١‏ مليون دولار. 


وهنا يلاحظ اهتمام عميد الكلية ومدير الجامعة» لذا من الأفضل الجدية في النسخ الاحتياطي 
للجهاز قبل أن تتعرض محتوياته لأي خطر موجه عن بعد. 
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وقد يصعب التعافي من بعض الأنشطة التي يتم تنفيذها من قبل فريق الاستجابة 
للحوادث الأمنية أثناء مرحلة الاحتواء. فالأنشطة التي يتم تنفيذها لاحتواء حالة معينة 
فو كرك à: Sebast dos es ste Nea So dace eS a‏ 
لإنهاء إزالة البرمجيات الخبيثة قد تقاطع عملية تجهيز كشوف الرواتب إذا تم إجراء عملية 
إعادة التشغيل في التوقيت الخاطئ. ولهذه الأسبابء ولأقصى حد ممكنء من امهم إبلاغ 
جميع الأطراف ال معنية قبل إجراء التغييرات اللازمة لعملية احتواء الأصول. كما يجب 
استمرار أعضاء فريق الاستجابة للحوادث الأمنية لمراقبة مبدأ «معرفة ما نحتاج إليه» 
أثناء تلك الإبلاغات. فقد يكون من الضروري توضيح أسباب إعادة تشغيل الخادم لمدير 
الرواتب» لكن ليس من الضروري توضيح تلك الأسباب لكل شخص في إدارة الرواتب. 


ونقطة أخرى تحتاج إلى نظر في مرحلة الاحتواء تتعلق باتخاذ قرار بخصوص الجلوس 
ومراقبة سلوك قراصنة الحاسب أو احتواء المشكلة على الفور. وكل ذلك يتلخص في كمية 
الضرر المحتمل على الأصول. ففي حين أن ردة الفعل الأولى ممسؤولي النظام هي التخلص من 
الخلل وإزالة جميع المساراتء إلا أن مراقبة سلوك قراصنة الحاسب قد تكون مفيدة للمنظمة. 
فقد تكشف مراقبة قراصنة الحاسب عن هجمات أخرى موجهة من قبلهم» أو تكشف عن 
أصول تحت سيطرتهم» كما يمكن أن تكشف عن العديد من المعلومات المفيدة الأخرى. 

ويجب على أعضاء فريق الاستجابة للحوادث الأمنية أن يكونوا على حذر عند اتخاذ 
قرار بشأن احتواء المشكلة على الفور. فلا بد من تنسيق الجهود قدر الإمكان للقيام بذلكء 
فمن المعروف أن قرصان الحاسب يتحول إلى قوة مدمرة إذا عرف أنه تم اكتشافه» وذلك في 
محاولة لتغطية آثاره وإزالة جميع معلومات التسجيل المحلية التي قد تؤدي للقبض عليه. 
وقد يقوم مسؤول قاعدة البيانات المتورط في حالات الاحتيال بنصب الفخاخ التي تؤدي إلى 
تدمير قاعدة البيانات وكافة البيانات الواردة فيها. 


ولهذا السبب يقوم عملاء مكتب التحقيق الفيدرالي (FBI)‏ عند القيام بعمليات القبض على 
قراصنة الحاسب بإبعادهم بسرعة وبكل قوة عن لوحة المفاتيح وأجهزة الإدخال الأخرى في 


أقرب وقت ممكن. وهذا يقلل من احتمالية مبادرتهم بإنشاء نصوص برمجية لتدمير الأصول 
وتدمير الأدلة التى تدينهم. 
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الدروس المستفادة: 
المرحلة النهائية من إجراءات التعامل مع الحادث الأمني هي ما يسمح للتحضير 
للحادث القادم. وفي هذا الجزء الأخير يقوم أعضاء فريق الاستجابة للحوادث الأمنية 
بتجميع ملاحظاتهم واستكمال عملية التوثيق. وينبغي أن يتضمن التوثيق جميع الأحداث 
السلبية الفردية مع تحديد وقت الحادث الأمني والأصول المعنية. كما يتضمن التوثيق ما 
٠‏ الإشارة إلى جوانب المنظمة التي تأثرت بالحادث وتحديد نتيجة الاختراق. 
٠‏ كيف تعاملت كل إدارة منفردة مع التهديدات الأمنية؟ وكيف تعاملت تلك 
الإدارات مجتمعة تحت تنسيق فريق الاستجابة للحوادث الأمنية؟ 
٠‏ مدى مناسبة الإجراءات الحالية للتعامل مع الحوادث. وتحديد فرص التحسين. 
٠‏ مدى مناسبة تحديد وتصنيف الأصول وأثر ذلك في اتخاذ فريق الاستجابة للحوادث 
الأمنية لقرارات سريعة تناسب تطور الحالة. 
٠‏ مدى مشاركة المعلومات مع المستفيدين ومدى الرضا عن ذلك. 
٠‏ فرص الكشف الاستباقية لتجنب حدوث مشكلات مشابهة. 


٠‏ التدابير التقنية اللازمة التي يجب اتخاذها لتجنب قضايا مماثلة في المستقبل. 
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]15 كيف تم حل مشكلة إدارة التنمية الاقتصادية (EDA)‏ في نهاية المطاف؟ 


في شهر فبراير من عام 2701 أي بعد AST‏ من عام على التنبيه الأوليء أكد مكتب المفتش العام 
في وزارة التجارة لكل من إدارة التنمية الاقتصادية ووزارة التجارة أن الأضرار اقتصرت فقط 
على نظامين. وبعد Sb‏ وزارة التجارة من عدم وجود حادث cu‏ بدأت وزارة التجارة بجهود 
الاسترداد في شهر فبراير من عام ۲١٠١‏ واحتاجت لفترة أطول من 0 أسابيع بقليل لاستعادة 
القدرات التشغيلية السابقة لإدارة التنمية الاقتصادية. 

وبمقارنة الفترات الزمنية نجد جهود إدارة التنمية الاقتصادية الناقصة قد امتدت ما يقارب من 
العام. 


وبالتحديد قامت وزارة التجارة بتزويد إدارة التنمية الاقتصادية بخدمات إدارة حسابات البريد 
الإلكتروني للمنظمة. وخدمات مكتب الدعم الفني» كما قامت بتهيئة آمنة لنسخ موحدة من 
أقراص أجهزة الحاسب ال محمولة. 

بالإضافة إلى ذلك قامت الإدارة بإعادة وصول مستخدمى إدارة التنمية الاقتصادية لتطبيقات 
الأعمال الهامة. 





الكارثة: 

في عام الحوادث هناك أمرٌ مخيف يؤثر تأثيراً ضخماً في جميع أنحاء المنظمة والذي 
يستطيع إخضاع الشركة المزدهرة على ركبتيهاء وهذا الأمر المخيف هو الكارثة. والكارثة هي 
حادثة مفجعة تتسبب في دمار كبير. ويمكن اعتبار الكارثة ib‏ حادث ضخم» أو حادث 
كبير ينطوي على حوادث فرعية متعددة, أو حادث يؤثر في المنظمة بأكملها. وأيا كانت 
الطريقة التي تنظر بها إلى الكارثةء فإن لها آثارا كبيرة على العديد من المستفيدين. 

ونبدأ هذا القسم ببعض التعاريف: التعافي من الكوارث هي العملية التي تقوم بها 
منظمة تقنية ا معلومات من أجل إعادة الأنظمة الاحتياطية وتشغيلها. والتعافي من الكوارث 
قد يشمل انتقال العمليات إلى موقع آخر بهدف استرداد الخدمات والبيانات. 
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في عام 7٠١٠‏ حدث فشل في أجهزة خوادم البريد الإلكتروني الخاص بالطلاب مما أدى إلى فقدان 
٠‏ ألف حساب بريد إلكتروني للطلاب في جامعة جنوب فلوريدا Le‏ في ذلك البيانات الواردة 
في حسابات البريد الإلكتروني. وعلى الفور بدأ العمل بخطة التعافي من الكوارث والتي تتضمن 
إعادة إنشاء جميع حسابات البريد الإلكتروني للطلاب. وهذه الحسابات ستكون فارغة في 
البداية لكنها ستسمح للطلاب بإرسال واستقبال رسائل البريد الإلكتروني. وبمجرد الانتهاء من 
هذه الخطوة. سيتم استخراج بيانات البريد الإلكتروني من الشريط الاحتياطي ومن ثم إعادتها 
إلى صناديق البريد الإلكتروني الخاص بالطلاب. وقد استغرقت عملية التعافي من الكارثة بأكملها 


في هذه الحالة قرابة Y‏ أسابيع. 





والتعافي من الكوارث عملية معقدة للغاية» ويتم معالجتها عادة من قبل أفراد ذوي 
خبرة طويلة في المنظمة. وف المنظمات الكبيرة غالباً ما يكون هناك أفراد مخصصين لهذا 
الموضوع. وفي جميع الحالات فإنه ليس من المرجح أن توكل إليك مسؤوليات التعافي من 
الكوارث في وقت مبكر من حياتك dl‏ لذا فإن هذا الموضوع لن يتم تغطيته في هذا 
الكتاب. وقد تطرقنا لهذا الموضوع بهدف تعريفك ببعض المفاهيم الأساسية حتى تتمكن 
من المساهمة في هذه العملية. 

ويُعد التعافي من الحوادث جزءاً من الصورة الأكبر وهي التخطيط لاستمرارية الأعمال 
(Business Continuity Planning)‏ أو اختصاراً .(BCP)‏ والتخطيط لاستمرارية الأعمال 
هو عملية الحفاظ على عمليات المنظمة في الظروف العسيرة. ففي أثناء التخطيط 
لاستمرارية الأعمالء يتوقع المخططون ما سيحدث في حال وقوع كارثةء وعليه يحددون الحد 
الأدنى والضروري مساعدة المنظمة في استمرار عملياتها. وفي حالة نظام البريد الإلكتروني في 
جامعة جنوب فلوريداء تشمل الأسئلة ما يلي: كيف سيُسلم الطلاب واجباتهم؟ ومن أين 
als‏ بالتمويل اللازم لشراء الأجهزة الجديدة؟ وكيف سنقوم بمطالبات التأمين؟ وما الآثار 
الأخرى التي سيسببها انقطاع البريد الإلكتروني عن المنظمة؟ 


وبحكم طبيعة التخطيط لاستمرارية الأعمال والتعافي من الكوارث فإنها تشمل وحدات 
أرق بالإضافة إلى وحسدة تففة اللخلومات: علن سسميل «JEU‏ لس متطقيا أن تعمل 
ا منظمة معزولة بعضها عن بعض عند الاستعداد لإعصار أو عاصفة. إن مثل هذه الحوادث 
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ستؤثر في المنظمة بأكملها. فالموارد البشرية قد تتطلب بقاء جميع الأفراد في منازلهم إذا 
كان هناك احتمال لإعصار من ا مستوى الرابع أو أعلى. وفي الوقت نفسه قد تحتاج وحدة 
تقنية المعلومات إلى حضور الموظفين لإيقاف تشغيل الخوادم والأجهزة الحاسوبية المكتبية. 
وجزء مهم من التخطيط لاستمرارية الأعمال هو تحليل تأثير العمل Business Impact)‏ 
(Analysis‏ أو اختصارا (BIA)‏ وتحليل تأثير العمل هو تحديد الخدمات والمنتجات البالغة 
الأهمية للمنظمة. وهنا b‏ دور تصنيف الأصول الذي تعرضنا له في الفصول السابقة. 
وبناءً على ذلك فإن الأصول الضرورية هي تلك الأصول التي تدعم الخدمات والمنتجات ذات 
العلاقة بتحليل التأثير على العمل. وبعد ذلك يحدد (تحليل التأثير على العمل) أولويات 
إجراءات التعافي من الكوارث. 
والهدف الأساسي للتخطيط لاستمرارية الأعمال والتعافي من الكوارث هو الحفاظ 
على أمن الموظفين وعائلاتهم حيث يجب ألا يوضع الموظف في خطر. كما يجب أن يتم 
الاستعداد للسماح بتطبيق إجراءات استعادة الأصول التي لا تتضمن حالات خطرة. وهنا 
بعض الأمور الأخرى التي يجب الاهتمام بها: 
٠‏ قائمة بأرقام الهواتف وهي أداة مفيدة للغاية في حال وقوع كارثة. رها قائمة بسيطة 
بحجم البطاقة وتحتوي على أرقام الهواتف تكون لدى الموظفين. 
٠‏ كيف ستخبر زملاءك الموظفين في حال تعطل أنظمة الهاتف؟ 
٠‏ إذا قمت بنسخ ملفاتك الاحتياطية داخلياً في شريط وبواسطة جهاز مرفق مع الخادم» 
كيف ستقوم بنسخ البيانات في موقع آخر؟ وما البيانات التي يجب استعادتها أولا؟ 
٠‏ هل هناك شخص آخر يعرف كيفية استعادة البيانات؟ هل يوجد تعليمات منشورة 
في مكان ما؟ وإذا كان من المتوقع أن يقوم الشخص بقراءة كتيب من ٠٠١‏ صفحة 
للبدء في استعادة البيانات» عندها يجب أن يتم البدء في تبسيط الإجراءات. 
٠‏ هل يتم اختبار استعادة النظام بشكل دوري؟ الأشرطة والوسائل الأخرى قد تهترئ, 
أو تخدشء ومن ثم تصبح غير قابلة للقراءة. 
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o‏ هل هناك وسيلة للحصول على أجهزة جديدة لتحل بسرعة محل الأجهزة القدمة 
التي تضررت بسبب الكارثة؟ وإذا كان يوجد تأمين على الشبكات والأجهزة 
الحاسوبية» من هو الموظف الذي يعرف تفاصيل تفعيل التأمين؟ 


نموذج حالة - قرصنة في الحرم الجامعي: 


وحدثت هذه الحالة قبل عام ٠٠١0‏ وتم تغيير أسماء جميع الشخصيات وأسماء ا لمضيف وذلك 


لحماية الأفراد المعنيين. ومن الصعب العثور على تقارير الحوادث التفصيلية المشابهة لهذا 
التقرير وذلك لأنها تتعلق بمبدأ «معرفة ما نحتاجه» ولا يتم نشرها مطلقا. 





سوف نسمي الطلاب (Greg Apple)‏ و .(John Orange)‏ وتخصصات هذين الطالبين 
غير معلنة. وفيما يلي نستعرض ملاحظات مسؤول النظام حول الجدول الزمني للحادثة: 


يوم الإثنين الموافق W‏ أكتوبر: 

تلقيت تقارير تفيد بأن قسم الجذر في خادم (SERVER-A)‏ كان lras‏ واتضح أن 
اثنين من الطلاب (أسماء الدخول على النظام هي (gapples jorange‏ يستخدمون الدليل 
الفرعي (tmp/)‏ لحفظ ملفات مضغوطة حجمها ٠١‏ جيجا بايت. لذا قمت بإزالة معظم 
املفات. 

وف المساء تلقيت البريد الإلكتروني التالي من مسؤول الشبكة: 

--(SERVER-A) على خادم‎ (gapple) مشوش الليلة بسبب حساب يحمل الاسم‎ bf» 
قام هذا الحساب بتسجيل الدخول مرتين في نفس الوقت ومن مناطق مختلفة من البلاد...‎ 
وعلاوة على ذلك يبدو أن هذا الشخص قد حصل على ملف كلمات المرورء والموجود في‎ 
ينام مطلقا...سأتحدث معك‎ Y حسابه» من مكان ما على الشبكة...ويبدو أن هذا الشخص‎ 
حول هذا الموضوع في الصباح...».‎ 


ويبدو أن ملف كلمات ال مرور صدر من موقع .(somedomain.com)‏ 
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ويحتوي كل من ملف كلمات ال مرور وحساب (gapple)‏ على 28 à‏ أدلة طويلة من 
ا مستخدم .(mikel)‏ وقمت بالبحث عن (mikel?somedomain.com)‏ وقد تم العثور 
علیه» كما قمت بإرسال بريد إلكتروني إلى (root&somedomain.com)‏ لکن م أحصل 
على أي رد. 


يوم الثلاثاء الموافق VA‏ أكتوبر: 

لاحظت في الصباح عند تسجيل الدخول إلى خادم (SERVER-A)‏ أن حساب (jorange)‏ 
متصل ب (somedomain.com)‏ عبر بروتوكول .(telnet)‏ وقررت عندها فحص الدليل 
الرئيسي لحساب (orange)‏ ووجدت أن تصميم الدليل الرئيسي يشابه إلى حد بعيد الدليل 
الرئيسي لحساب (gapple)‏ 

ثم استخدمت بروتوكول نقل الملفات (FTP)‏ لنقل بعض DULI‏ ا محفوظة في دليل 
(tmp/)‏ إلى جهازي المكتبي وقمت بفك الضغط عنها. واتضح أن تلك الملفات عبارة عن 
ألعاب إلكترونية مقرصنة. وبعد ذلك بدأت مراقبة أنشطة حساب (orange)‏ عن كثب. 

أخبرني (Will)‏ وهو مسؤول الشبكة أن موقع (thepoint.com)‏ هو موقع شبكات 
مجاني مزود بروابط إنترنت متكاملة مع إمكانية الوصول إلى القشرة (shell)‏ كما أخبرني 
ob‏ لديه حسابا في ذلك الموقع. وما أني & أتلق أي رد من «(rootéthepoint)‏ طلبت من 
(Will)‏ أن يقوم بتسجيل الدخول معرفة إمكانية التحري عن (mikel) JJ»‏ وقد Je‏ 
(Will)‏ على ثلاثة ملفات لكلمات ال مرورء كما عثر على المزيد من الألعاب الإلكترونية. 

EEEE‏ با با E‏ جلا ا E E E‏ لا E E E E‏ جلا جلا جلا E E E E‏ جلا E E‏ يا E‏ لا E E E E‏ جلا E‏ با E E‏ لا E E E E‏ جلا حا E E E E E E E E‏ جلا ا E‏ حا E E‏ ا جا ا ا ا ا جا ا ا 

من ملفات السجل عثرت على الروابط التالية وهي إما لحساب (gapple)‏ أو لحساب :(jorange)‏ 

(Jack Laughlin) حساب‎ - (numsix&inca.anotherdomain.net) 

(hopi.anotherdomain.net) 

(Mike Lee) حساب‎ - (mikelesomedomain.com) 

(Randy Sharr) حساب‎ - (thriddomain.net.server-) 


وقد يكون هناك المزيد من الحسابات المخترقة على هذه المواقع. 


E ا ا ا ا جا ا جا‎ E E E جلا‎ E جلا جلا‎ E ا جا‎ E E Û E E جلا جلا جلا جلا‎ E جلا‎ E E E ا‎ E Û E Û E لا جلا جلا جلا جلا جلا‎ E E E E E E EE جلا جلا جلا جلا جلا‎ E E E E E E E ا‎ E E با با‎ E 


WA‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


التعامل مع الحوادث الأمنية 


الأدلة على حساب :(gapple)‏ 
.١‏ ملف كلمات ال مرور من موقع (somedomain.com)‏ 
.Y‏ ملف يحتوي على قاثمة من JJI‏ التالي (thepoin.com:/-mikel)‏ 
۳. ملفات السجل تشير إلى تسجيل الدخول من (gappleGservera)‏ إلى (jorangeG'servera)‏ 
الأدلة على حساب :(jorange)‏ 
.١‏ البرمجيات المقرصنة وا موجودة في (tmp/)‏ ولدينا نسخ من البرمجيات على خادم 
محلي آخر لكن الملفات الفعلية تمت إزالتها ليلة أمس وذلك قبل إغلاق الحساب. 
Y‏ الرسائل الإلكترونية التي تلقاها حساب (jorange)‏ من مستخدمين مجهولين 
بخصوص موقع جديد للبرمجيات المقرصنة» وتم تأكيد وجود هذا الموقع الجديد. 
۳. ملفات السجل الخاصة باستخدام بروتوكول نقل الملفات (FTP)‏ من موقع 
(somedomain.com)‏ باستخدام حساب وهمي ل .(mikel)‏ تم تأكيد 3929 
حساب (mikelesomedomain.com)‏ وجميع محتوياته من البرمجيات ال مقرصنة 
بواسطة .(root&somedomain.com)‏ 
ونتيجة لذلك تم إيقاف كلا الطالبين عن الدراسة الجامعية وذلك لتجاوزهم قواعد 
السلوك الأخلاقي (Code of Ethics)‏ 


الملخص: 

ناقشنا في هذا الفصل عملية التعامل مع الحوادث الأمنية. ورأينا أن ال منظمات الفعالة 
لا تنتظر وقوع الحوادث الأمنية قبل معرفة كيفية التعامل معها. وبدلاً من ذلك تقوم 
المنظمات بالاستعداد الاستباقي للتعامل مع حوادث أمن المعلومات. وهذا الاستعداد 
يتطلب إعداد سياسة لتوجيه الاستجابة للحوادثء واتفاقيات خطط التواصلء وإجراءات 
تأسيس فريق الاستجابة للحوادث الأمنيةء والحصول على الأدوات المناسبة للاستجابة 
للحوادث. ويتم اكتشاف الحوادث عن طريق السلوكيات غير الطبيعية. ولقد رأينا أنه أثناء 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات 11۹ 


الفصل الحادي عشر 


الاستجابة للحوادث الأمنية قد يُصبح من الضروري تعطيل الخدمات وذلك لاحتواء الضرر. 
وأخيرا استعرضنا المفاهيم المتصلة بالكوارث أو الحوادث ذات النطاق الواسع. 


أسئلة مراجعة للفصل: 
.١‏ ما حوادث أمن المعلومات؟ 
Y‏ اذكر بعض الأمثلة على الحوادث الأمنيةء ويُفضل أن تكون عايشت الأمثلة بنفسك. 
۳. ما الخطوات الأساسية للتعامل مع الحوادث الأمنية؟ 
€. في خطوات التعامل مع الحوادث الأمنية أعلاه. ما أهم خطوة في رأيك؟ وماذا؟ 
0. ما الأنشطة الهامة ذات العلاقة بالإعداد للتعامل مع للحوادث الأمنية؟ 
T‏ ما سياسة الاستجابة للحوادث الأمنية؟ وما أهميتها؟ 
۷. ألق نظرة على إحدى سياسات الاستجابة للحوادث الأمنية لأحدى المنظمات (ويمكن 


العثور عليها بسهولة من الإنترنت). ما polis‏ هذه السياسة؟ في اعتقادك ما المثير 
للاهتمام في هذه السياسة؟ 


A‏ ما نطاق سياسة أمن المعلومات؟ وما أهمية تحديد هذا النطاق؟ 

1. ما فريق الاستجابة للحوادث الأمنية؟ وكيف يتم تشكيله؟ 

٠.ما‏ هي بعض القضايا المتعلقة بالتواصل بخصوص التعامل مع الحوادث الأمنية؟ 

Ls. VY‏ مبدأ «معرفة ما نحتاج إليه»؟ وما فائدته في التعامل مع الحوادث الأمنية؟ 

Ls. VY‏ الامتثال؟ وما أهميته للتعامل مع الحوادث الأمنية؟ 

۳. كيف يساعد التدريب في التعامل مع الحوادث الأمنية؟ 

٤.اختر‏ إحدى شهادات أمن المعلومات واقرأ منهجها الدراسي. في جملة واحدة لكل 


منهاء اشرح كيف تساعد ثلاث وحدات من ذلك المنهج الدراسي على تحسين قدراتك 
في التعامل مع الحوادث الأمنية. 


Wwe‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


التعامل مع الحوادث الأمنية 


Gs. YO‏ الطرق الشائعة في اكتشاف الحوادث الأمنية؟ 

1١.ما‏ تحليل السجل؟ وما استخداماته؟ 

dI في جهاز الحاسب‎ (OSSEC) كنت تستخدم أداة لمراقبة سلامة ا ملفات مثل‎ 15] W 
الخاص بكء ما المجلدات المناسبة للمراقبة باستخدام تلك الأداة؟ وماذا؟ (قد ترغب‎ 
((OSSEC) Jès في تجربة احدى الأدوات المفتوحة المصدر‎ 

.ما أهداف تحليل الحوادث الأمنية؟ 


.ما الاحتواء؟ وما أهميته؟ وما هي بعض التدابير التي هكن اتخاذها لاحتواء ضرر 
هجمات الفيروسات؟ 


.٠‏ ما الاستئصال؟ وما هي بعض التدابير التي يمكن اتخاذها لاستئصال هجمات الفيروسات؟ 
.١‏ كيف يساعد التعامل مع الحوادث الأمنية على تحسين أمن ا معلومات للمنظمة في ا مستقبل؟ 


٣.افترض eG]‏ تعد الفصل الدراسي السابق احدى الحوادث التي مرت عليك. اكتب فقرة 
مبسطة عن «الدروس المستفادة» وذلك باتباع نموذج مماثل للنموذج ال مستخدم في 
التعامل مع الحوادث الأمنية. قم بتعميم الدروس المستفادة بشكل مناسب دون 
تحديد أسماء الشخصيات» وذلك للمحافظة على خصوصيتك. 


Ls. YY‏ الكارثة؟ وما التعافي من الكوارث؟ 


٤.ما‏ التخطيط لاستمرارية الأعمال؟ وما هي بعض الأشياء التي يمكنك القيام بها كجزء 
من ممارسة التخطيط لاستمرارية أعمال بياناتك الشخصية؟ 


وك Jules‏ التانوهان العمل وك يكون هذا ale]‏ هيد 


أسئلة على نموذج الحالة: 


.١‏ من بين آليات الكشف عن الحوادث التي تم وصفها في هذا الفصلء ما الآلية التي 
أدت إلى الكشف عن الحادث؟ 


.Y‏ من الأشخاص المناسبين في الحرم الجامعي ليتم إخطارهم بالحادث حال اكتشافه؟ 


أمن المعلومات وإدارة مخاطر تقنية المعلومات Ww‏ 


لفصل الحادي عشر 


Y‏ ما الدروس التي تعلمتها من قراءتك عن الحوادث الأمنية؟ 
نشاط التدريب العملي - الجدول الزمني للحوادث الأمنية باستخدام (0551860): 
العملي في الفصل التاسع وذلك لمراقبة حادث مصطنع slug‏ جدول زمني لهذا لحادث. 
ولبدء محاكاة الحادثء انتقل إلى حساب المستخدم ذو الصلاحيات العليا وقم بتنفيذ 
البرنامج النصي الخاص با محاكاة: 


[aliceGsunshine ~]$ su - 


Password: thisisasecret 


[root8sunshine &tilde;]f£ / opt/book/ 


incident-handling/scripts/begin incident 


FE TE AEE FEAE + FE HE AE FE + FE AE FE FE + + FE AE 1 FEAE FE AE 1 1# TE AE AE AE FE EE HEE H 
FE FE AE AE FEAE AE AE FE FEAE FE AE FE AE FE 1 FE AE FE 1# + 


Simulated Incident has begun! 


This script will run for 10- 20 minutes. 


FE TE AE AE FEAE FE AE FE FE AE TE + FE AE FE FE AE TE AE FE AE FE FE AE AE AE 1 AE E TE + FE AE FE 1# HEFE H 
FE AE AE FE FEAE AE AE FE FEAE TE AE FE AE AE 1 FE AE FE FEAE + 





وبمجرد انتهاء البرنامج النصي» قم بتشغيل واجهة (OSSEC-WebUI)‏ عن طريق فتح 
متصفح الإنترنت وزيارة موقع .(http://sunshine.edu/ossec)‏ 
أسئلة: 

.١‏ كيف حاول المهاجم الوصول إلى النظام؟ وما الحساب الذي كان يستهدفه؟ 


1Y‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


التعامل مع الحوادث الأمنية 


. عند الانتهاء من اختراق الحساب» هل هناك حسابات أخرى تم اختراقها؟ 

LY‏ هل تم تثبيت برمجيات جديدة؟ 

.٤‏ هل تم فتح أو إغلاق منافذ شبكة جديدة؟ 

0. هل تم إضافة أي حسابات جديدة إلى النظام؟ 

1. قم بإنشاء جدول زمني للأحداث الرئيسية في هذا الحادث. ويمكن تحميل نموذج 


الجدول الزمني من نماذج مايكروسوفت 3399 (MS Word)‏ على الرابط gbl‏ 
(http://office.microsoft.com/en-us/templates/timeline- TC001016265.aspx)‏ 


تمرين التفكير النقدي - الهدم في إدارة التنمية الاقتصادية: 

يعد تقرير إدارة التنمية الاقتصادية CEP‏ ا لكل مهتم بالتعامل مع حوادث أمن 
المعلومات. ولمزيد من التفكيرء نذكر هنا مقتطفات أخرى من التقرير: 

على الرغم من توصيات التعافي الصادرة عن وزارة الأمن الداخلي (DHS)‏ وعن وكالة 
الأمن القومي الأمريكية (NSA)‏ والمتضمنة تقديم المشورة لإدارة التنمية الاقتصادية بالتركيز 
على استرداد أنظمة تقنية المعلومات بسرعة وبشكل كاملء ركزت إدارة التنمية الاقتصادية 
بدلا عن ذلك على بناء بنية تحتية جديدة لتقنية ا لمعلومات كما ركزت على إعادة تصميم 
تطبيقات الأعمال. وفي شهر سبتمبر من عام ۲١٠۲‏ (أي بعد ۸ أشهر من عملية العزل) 
تقدمت قيادة إدارة التنمية الاقتصادية بطلب لمجلس مراجعة تقنية ال معلومات التجارية 
(Commerce IT Review Board)‏ لإعادة برمجة الأموال اللازمة لتنفيذ جهود التعافي» 
لكن المجلس م يوافق على طلب إدارة التنمية الاقتصادية. وقذرت إدارة التنمية الاقتصادية 
نها ستحتاج إلى أكثر من 71 مليون دولار للإنفاق خلال الثلاث سنوات القادمة (زيادة من 
1 مليون دولار إلى ما يقرب من ANY‏ مليون دولار أي أكثر من ۲,۵ مرة من متوسط 
الميزانية السنوية لتقنية المعلومات التابعة للإدارة) وذلك لتمويل جهود التعافي. 

لذا سيقوم المشككون في موضوعات الحكومة الكبيرة باستخدام هذه المعلومات الواردة 
في تقرير مكتب المفتش العام للإشارة إلى أن إدارة التنمية الاقتصادية استخدمت الحادث 


أمن المعلومات وإدارة مخاطر تقنية المعلومات wv‏ 


الفصل الحادي عشر 

الأمني كذريعة لتدمير بنية تقنية المعلومات حتى تتمكن من تأمين التمويل اللازم لأجهزة 
تكنولوجية جديدة: أو بمعنى آخر محاولة طلاء بنيتها التحتية بالذهب. كيف ستؤيد أو 
ستعارض هذه الفكرة Flo‏ على المعلومات الواردة في هذا التقرير؟ 


تصميم حالة: 

طلب منك مدير الجامعة إعداد وثيقة من صفحة واحدة توضح فيها الخطوات التي 
ستتخذها لإنشاء فريق الاستجابة للحوادث الأمنيةء ولتوضيح كيفية الإعداد لهجمات 
القرصنة. وبعد قيام مورد تأمين الشبكات بتقديم سيناريو مقنع عن الدمار والكآبة التي 
قد تحدث بسبب الهجمات» أصبح رئيس الجامعة ومديرها قلقينَ بخصوص عدم قدرة 
الجامعة على التصرف بسرعة وبشكل حاسم لحل أي مشكلة قد تحدث» وهذا سوف يؤثر 
في صورة الجامعة. 

s‏ التقرير المطلوب منك. أجب عن الأسئلة التالية: 

.١‏ ما النقاط التي يجب الاهتمام بها في سياسة الاستجابة للحوادث؟ 

.Y‏ ما الوحدات التي ينبغي أن يكون لها تمثيل في فريق الاستجابة للحوادث الأمنية؟ 

علل إجابتك. 
. ناقش مركزية الموارد المتعلقة بأمن الحرم الجامعي. 
ع. قم بالبحث اللازم لتحديد متطلبات الإبلاغ في ولايتك في حال حدوث اختراق. 


0. قم بالبحث اللازم لمعرفة الحماية التي يوفرها تأمين أمن الشبكات. 


wt‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


الفصل الثانى عشر 
تحليل الحوادث الأمنية 


نظرة عامة: 

في الفصل السابق ألقينا نظرة عامة على عملية التعامل مع الحوادث الأمنية حيث 
ناقشنا المراحل المختلفة لتلك العملية وهي: 

٠‏ الإعداد: تجهيز البنية التحتية اللازمة للتعامل مع الحوادث الأمنية عند وقوعها. 

٠‏ التحليل: اكتشاف وتوثيق أكبر قدر ممكن من الحادث. 

bleet coste وإزالة الأثار ا فة‎ dedil dl. us اتواه تحد ين أفضل‎ e 

على نتائج التحليل. 

الدروس المستفادة: تطبيق ا معرفة الجديدة لإصلاح أي مشكلات وجدت خلال هذه 

العملية. ومن ثم العودة إلى مرحلة الإعداد. 


ودورة التعامل مع الحوادث الأمنية Y‏ تنتهي da]‏ فهناك ثغرات جديدة تظهرء وتقنيات 
جديدة تستخدم وتحديات جديدة تطفو على السطح. وإذا كان هناك خلل في مرحلة 
الإعداد. وهي المرحلة التي تحاول المنظمة أن تكون فيها استباقية في التعامل مع «lI‏ 
فإن ذلك حتماً سيؤدي إلى عواقب سلبية. 


وفي هذا الفصل سنلقي نظرة فاحصة على المرحلتين الثانية والثالثة وهما مرحلة التحليل 
ومرحلة الاحتواء من خلال: 


٠‏ النظر إلى مصادر ال معلومات في نظام تشغيل لينكس ونظام تشغيل ويندوز. 

٠‏ معرفة كيفية استخراج المعلومات من تلك الأنظمة وذلك فيما يخص الأحداث التي نستعرضها. 
o‏ معرفة كيفية إنشاء جدول زمني يوضح نمط الحادث. 

٠‏ النظر في أمثلة على أدلة الهجوم وذلك في تطبيقات متعددة. 


أمن المعلومات وإدارة مخاطر تقنية المعلومات wo‏ 


الفصل الثاني عشر 


تحليل السجل: 
تحتوي مُعظم التطبيقات البرمجية ونظم التشغيل على آلية تدوين لتسجيل معلومات 
الحالة. وتختلف أغراض تسجيل المهام Flo‏ على التطبيق. 

o‏ يستخدم مطورو البرمجيات التسجيل لضمان أن التطبيق يعمل كما هو متوقع. على 
سبيل ال مثالء قد يُقرر مطورو البرمجيات إظهار مخرجات أمر داخلي على الشاشة في 
بعض الحالات. ويعرف هذا عادة بتشغيل التطبيق في وضع التصحيح. 

٠‏ ويستخدم مسؤولو النظم معلومات التسجيل للقيام بتحليل الأداء لمعرفة إنتاجية 
التطبيق. على سبيل «JUL‏ قد يراقب مسؤولو النظم السجل للتأكد أن التطبيق 
لديه ما يكفي من الذاكرة ومن مساحة القرص للعمل بالشكل الصحيح. 

٠‏ ويستخدم مسؤولو الأمن السجل أثناء مرحلة تحليل الحادث الأمني. وف الواقع 
فإنه من المرجح أن يكون الوصول إلى سجل النظام هو الأمر الأول الذي يطلبه 
المسؤول الأمني كجزء من التحقيق. 

وفي هذا القسم سنلقي نظرة فاحصة على السجل بشكل عام Le‏ في ذلك سجل نظام 

التشغيل وسجل التطبيقات. 


سجلات نظام التشغيل ويندوز: 

ويعرف سجل نظام التشغيل ويندوز ب «سجل الأحداث». ويوضح الشكل (V-W)‏ 
واجهة ويندوز التي تتيح للمستخدم الاطلاع على السجل. وهذا البرنامج يعرف باسم 
«عارض الأحداث» (Event Viewer)‏ وهناك أدوات أخرى مفتوحة المصدر وأدوات 
تجارية يمكن استخدامها للحصول على معلومات أكثر من ملفات سجل الأحداث في نظام 
التشغيل ويندوز. ويمكن الاطلاع على مئات من تلك الأدوات من خلال بحث بسيط على 
الإنترنت. 
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الجانب الأمن من (عارض الأحداث) هو جانب خاص بالتنقل والذي يتيح للمسؤول 
الاطلاع على المجلات ا مختلفة والموجودة في هذا النظام. 35 هذا الجزء bul‏ يستطيع 
امسؤول إنشاء L‏ عرض مخصصة للتركيز على أهداف محددة. 


الشاشة الرئيسية لبرنامج عارض الأحداث: 

تتكون الشاشة الرئيسية لبرنامج عارض الأحداث» والموضحة في الشكل .)١1-١7(‏ من ثلاثة 
جوانب كل منها يحتوي على معلومات مختلفة عن ملفات السجل. 

ملخص لجانب الأحداث الإدارية وهذا الجزء يحتوي على تفصيل لعدد الأحداث بناءً 
على نوع الحدث. فإذا قام المسؤول بتوسيع نوع الحدث من خلال النقر على زر (+) 
الموجود بجانب النوع فإن عدد الأحداث المصنفة تحت نوع معين يتم تقسيمها بواسطة 
معرف الحدث (Event ID)‏ ومعرفات الحدث هي تصنيفات تحت نوع محدد من 
الأحداث (الشكل (Y- MY.‏ 


الشكل :(Y- Y)‏ ملخص لجانب الأحداث الإدارية 
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جانب ملفات السجل التي تم عرضها مؤخراء ويحتوي هذا الجزء على ملفات سجل 
الأحداث التي تم عرضها مؤخرا. وفي «x Sls)‏ يحتوي هذا الجانب على وصف للعرض 
(عندما يكون متاحا)» وتاريخ آخر تعديل ملف السجل (بمعنى آخرء متى تمت الكتابة في 
هذا الملف). ومتى تم إنشاء الملف في الأصل. وتشير سطور التواريخ الفارغة إلى أن ا ملف 
مم يتم إنشاؤه أصلا أو إلى أن مدخلات السجل م يتم إلحاقها با ملف (شكل .)7-1١17‏ 


الشكل :(Y-YY)‏ ملفات السجل التي تم عرضها مؤخراً 


Recently Viewed Nodes 





ملخص السجل: 

الجانب الأخير في الشاشة الرئيسية لبرنامج عارض الأحداث هو جانب ملخص السجل. 
ويقوم هذا الجانب بوصف خصائص ملفات السجل التي يحتفظ بها نظام التشغيل ويندوز 
حالياً. أما عمود (Size/Maximum)‏ فيُخبر المسؤول عن حجم المساحة المتبقية والمسموحة 
للزيادة في ملف السجل. وإذا رأيت أن حجم ملف السجل وصل للحد الأقصى أو اقترب من 
ذلك فمن المرجح أن السجلات المحفوظة في تلك الملفات تكون في حالة تدوير مما يؤدي 
إلى فقدانها (الشكل ؟١-6).‏ وهذا يطرح السؤال: كم عدد ملفات السجلات اليومية التي 
يستطيع الجهاز الاحتفاظ بها دون فقدان؟ 

وستلاحظ أن سجل الأمن تلن عادة بسرعة مما يتطلب التدوير في معظم الحالات أكثر من 
السجلات الأخرى. وهذا ينطبق بشكل خاص على خوادم الويندوز. واعتماداً على عدد مستخدمي 
الخادم» فإن استخراج معلومات مفيدة من ملفات سجل الأمن قد يكون عديم الفائدة. 

لاحظ أيضاً وجود عموديّن آخرين في جانب ملخص السجل. من خلال هذين العمودين 
يمكنك تأكيد ما إذا تم تمكين خدمة سجل معينة» كما يمكنك معرفة ما إذا تم تعيين 
خدمة الكتابة فوق المعلومات الحالية عندما يكون ملف السجل ممتلتا أو خدمة تجاهل 
CES‏ الحجديدة عدم ركن ملف السدل dias‏ 
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الشكل MY)‏ -£€(: جانب ملخص السجل 


Enabled Rets 





أنواع ملفات سجل الأحداث: 
بعض ملفات سجل الأحداث موجودة في أنظمة تشغيل ويندوز منذ إصدار ويندوز 
إكس بي (XP)‏ وبإمكانك الاطلاع على ملفات سجل ويندوز في الجانب الأيسر من الشكل 
(Y-Y)‏ 
٠‏ يحتوي سجل التطبيقات على معلومات التسجيل من تطبيقات الطرف الثالثء 
ولا تعد تطبيقات مايكروسوفت جزءا من التوزيع الأماسي لنظام التشغيل. على 
«JULI (ar e‏ معلومات تسجيل الألعاب الإلكترونية» ومعلومات تسجيل برامج 
مايكروسوفت أوفيس تكون في ملف سجل الأحداث التابع للتطبيقات. 
وة علق oa‏ إلى Ae‏ كبو esas‏ اقرا Joi JE amas Cassel‏ والخروع: 
ويمكن تعديل تهيئة هذا ا ملف حتى مكنه تسجيل إنشاء ملفات البيانات أو إغلاقها 
أو فتحها داخل النظام. 
٠‏ يحتوي ملف سجل الأحداث الخاص بالنظام على رسائل سجل نظام التشغيل. على 
سبيل ال مثال» يتم تسجيل مشكلات الاتصال بالشبكة. وأخطاء مشغل بطاقة الفيديو 
في ملف سجل أحداث النظام. 
ويحتوي نظام التشغيل ويندوز 8 على نوعين إضافيين من ملفات سجل الأحداث: 
.١‏ ملف سجل الأحداث الخاص بالإعداد والذي يحفظ معلومات التسجيل التابعة 
لتشيت التطبيقات البرمجية. 


.Y‏ سجل الأحداث المنقولةء وهو ما سنناقشه في القسم القادم. 
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مثال على أدلة التحليل الجنائي في نظام ويندوز: 

نستعرض هنا مثالاً من الحياة الواقعية على استخدام «عارض الأحداث» Event)‏ 
(Viewer‏ وذلك في جمع المعلومات بهدف التحليل. ففي بعض الأحيان فإن الأحداث التي 
توصف بأنها «معلوماتية» يمكن أن تحتوي على معلومات هامة للمحلل الأمني. ويوضح 
الشكل )0-١7(‏ لقطة من «عارض الأحداث» لجهاز مخترق. 


الشكل Y)‏ -0(: أحداث معلوماتية 


AdsmChentSenvce 4100 None 
Mckogfvent 
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[ean install or repair the component on the local computer. 
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وكما تلاحظ أن تثبيت برنامج مكافحة الفيروسات (McAfee)‏ يعمل في هذا الجهاز. 
ومن خلال تصفح ملف السجل نلاحظ أن بعض الكلمات تظهر على الفور. وفي قسم 
الوصف العام نرى «مُعرف الحدث ++ *0« )5000 (Event ID‏ وهذا ليس الجهاز الأصلي 
الذي تم تصدير السجل منه لذلك لا يمكن لنظام التشغيل ويندوز معرفة الحالة التي أدت 
إلى هذا الحدث. لكن ال معلومات المدرجة تشير إلى تطبيق (VirusScan Enterprise)‏ 
بأنه المتهم بالجريمة. وإذا كنت على ele‏ منظمة فستعرف أن إصدار برنامج مكافحة 
coL usa‏ ق وقت العادك كو ) ,0,6( اة Juega‏ )65,2( اللوجوة ق السجل): 
كما أن إصدار توقيعات الفيروسات هو * * «OV‏ مما يدل على أن ماسح الفيروسات غير 
محدث في هذا الجهاز. وعند البحث في الإنترنت عن )5000 (Event ID‏ وعلاقته ب 
(McAfee)‏ نكتشف أن ذلك قد يكون الخطأ بسبب عدم التشغيل الناجح لخدمة On)‏ 
(Access protection‏ وهي الخدمة التي تحمي الجهاز من الإصابة في الوقت الفعلي. 
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كل هذه المعلومات حصلنا عليها من سجل بسيط للحدث المعلوماتي. وينبغي أن تتساءل 
في هذه المرحلة: هل كان التطبيق البرمجي لمكافحة الفيروسات يعمل في هذا الجهاز؟ 


أهمية الحدث: 

رسائل السجل يتم تمييزها أيضاً بإشارات JS‏ على درجة أهميتها. فعند القاء نظرة على 
برنامج «عارض الأحداث» سنلاحظ أن مجلد العرض ال مخصص (Custom View)‏ يحتوي 
على العرض المخصص الخاص ب «الأحداث الإدارية» .(Administrative Events)‏ وهذا 
العرض b‏ مثبتا بشكل افتراضي مع ويندوز ۸ ويقدم ملخصا لجميع الأحداث «الحرجة» 
و«الخاطئة» و«التحذيرية» من بين جميع السجلات الإدارية. duis‏ رسائل السجل هذه 
ذات مستوى عالي وذات أهمية قصوى à‏ نظام ويندوز, ويوضح الشكل VY)‏ -1( أحد 
e‏ التقليدية لعرض «الأحداث الإدارية». وق طايكروسوفت'" فإن مستويات 
الأهمية في ويندوز تتمثل فيما ياي: 

٠‏ المعلومات: الحدث الذي يصف العملية الناجحة deal‏ مثل تطبيقء أو برنامج 
تشغيلء أو خدمة. على سبيل «JULI‏ يتم تسجيل الحدث المعلوماتي عند تحميل 
برنامج تشغيل الشبكة بنجاح. 

e‏ الإنذار: الحدث الذي لا يكون مهما بالضرورة, لكنه قد يشير إلى إمكانية حدوث 
مشكلة في المستقبل. على سبيل «JUL‏ يتم تسجيل حدث إنذار عندما تبدأ مساحة 
القرص بالانخفاض. 

٠‏ الخطأ: الحدث الذي يصف مشكلة كبيرة مثل فشل إحدى elall‏ الحرجة. وهذا 
الحدث قد يشمل فقدان بيانات أو فقدان الوظيفة. على سبيل «JUL‏ يتم تسجيل 
(حدث خطأ) عند فشل تحميل الخدمة وذلك عند بدء التشغيل. 

٠‏ تدقيق النجاح (سجل أمني): الحدث الذي يصف الانتهاء بنجاح من حدث أمني 
تمت مراجعته. على سبيل JEL‏ يتم تسجيل (حدث تدقيق النجاح) عندما يقوم 
ا مستخدم بتسجيل الدخول إلى جهاز الحاسب الآلي. 


(1) «How to view and manage Event Logs,» http://support.microsoft.com/kb/308427 
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٠‏ تدقيق الفشل (سجل أمني): الحدث الذي يصف الانتهاء بفشل حدث أمني تمت 
مراجعته. على سبيل «JULI‏ يتم تسجيل حدث تدقيق الفشل عند عدم OSE‏ 
المستخدم من الوصول إلى برنامج تشغيل الشبكة. 

ويحتوي نظام ينكس أيضا على مستويات أهمية مشابهة لكنها تختلف بعض الشيء. 

وسوف نستخدم المستويات الأهمية في نظام ينكس في القسم التالي. 
وعند اختيار الجانب الأيسر من «عارض الأحداث (المحلي)»» ينتقل المسؤول إلى صفحة 
اموجز واللمحة العامة (Overview and Summary page)‏ 


سجلات نظام ينكس: 

سنلقي الآن نظرة على سجل نظام ينكس. وفي الأقسام القادمة سنستخدم (لينكس) لكن 
الفكرة نفسه تنطبق أيضا على الأنواع الأخرى من نظام ينكس (AIX)9 (Solaris) Jis‏ 
وتنطبق في كثير من الأحيان على مواقع ال ملفات وملفات التهيئة. على سبيل JULI‏ أحد 
املفات التي سنتعامل معها هو ملف à (var/adm/messages/)‏ نظام (Solaris)‏ أو ملف 
(var/log/messages)‏ في نظام (Linux)‏ وهما املف نفسه وبا محتويات نفسها لکن في 
أماكن مختلفة قليلا. 
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أداة سجل النظام :(Syslog)‏ 
يتضمن نظام ينكس عملية مصممة خصيصاً لتعامل الرسائل مع البرمجيات التي WS‏ 
التواصل مع أداة سجل النظام (syslog)‏ وبذلك يتمكن أي مبرمج من استخدام الأداة 
لحفظ معلومات السجل في مكان محدد من ملف التهيئة (21مء.575108). 
ويتم استخدام أداة (syslog)‏ من خلال تعيين ما يُعرف بالمحددات. وتتكون المحددات 
من جزئين: 
1. الأداة وتحدد الخدمة المسؤولة عن انشاء رسالة الخطأ. وبعض الأدوات المتاحة هي 
.(mail) 9 (auth). (authpriv). (cron). (daemon). (kern). (lpr)‏ ويتم تسجيل 
رسائل السجل الناتجة عن نظام البريد الإلكتروني» على سبيل «JULI‏ باستخدام أداة 
.(mail)‏ وتوفر (syslog)‏ بعض الأدوات لاستخدامها في الرموز البرمجية المطورة 
داخليا. وتعرف هذه الأدوات ب «(local1)s «(local0)‏ وحتى (local7)‏ 
.Y‏ الأولو à,‏ وهي عبارة عما يلي: (debug). (info). (notice). (warning). (warn)‏ 
)نف (warning). (err). (error‏ (نفس (err): (crit). (alert). (emerg‏ 
(panic)s‏ (نفس .(emerg‏ والأولوية تصنف الرسالة اعتماداً على الأهمية. وتعد 
الأولوية مضافة مما يعني أنه عندما يتم إرسال محدد الأولوية فإنه سيتم تسجيل 
جميع الأولويات الأعلى. مثلاء المحدد (mailwarn)‏ يتطابق مع الرسائل التي تحمل 
الأولو .(emerg)s (warn). (err). (crit) à‏ 
ويتكوق ملعف dial‏ من خلال mos‏ المعدد مع el mI‏ والإمزاء المحتمل هكن أن 
يكون: 
. اسم ملف مثل .(var/adm/messages)‏ 
٠‏ تمرير إلى خدمة (syslog)‏ في مضيف آخر مثل (hostnameQ)‏ 
٠‏ كتابة معلومات السجل إلى شاشة المستخدم من خلال تحديد اسم المستخدم أو 
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وهنا بعض الأمثلة: 


* info;mail.none;authpriv.none;cron.none 69م‎ 


authpriv.* 

/var/log/secure 

mail.* 

/var/log/maillog 

cron.* /var/log/cron 


*.emerg X 





في السطر الأول تم تصنيف جميع الرسائل على أنها رسائل معلوماتية أو تصنيف أعلى 
أهمية من ذلك بغض النظر عن الأداة ا مستخدمة. لذا سيتم كتابة (info.*)‏ في ملف var/)‏ 
69 وبوالاستثناء الوحيد لهذه القاعدة هي الرسائل التي تحتوي على أدوات 
البريد مثل à» (cron) (authpriv)g (mail)‏ السطور ٤-۲‏ سيتم كتابة جميع الرسائل 
التي تحتوي على هذه الأدوات في ملف السجل الخاص بها. وأخيرا فإن جميع الرسائل ذات 
الأهمية (emerg)‏ (والتي تستخدم عادة في حالة إغلاق النظام) يتم عرضها على شاشات 
المستخدمين الذين قاموا بتسجيل الدخول إلى الخادم. 


هناك الكثير من المعلومات حول تهيئة سجل النظام (syslog)‏ كما أن هناك العديد من 
البدائل لسجل ls Ls «eU Jl‏ هو مفتوح المصدر. ومنها ما هو تجاري» وذلك مع وجود 
تحسينات مثل تسجيل الدخول إلى قاعدة البيانات. وللأسف فإن هذه الموضوعات خارج 


نطاق هذا الكتاب. والهدف من التعرض لهذا الموضوع» سواء في نظام ويندوز أو نظام ينكس» 
هو توفير الخلفية اللازمة لفهم البحث عن السجلات. وإذا كنت مشاركاً في عملية التحقيق 
ونظرت في دليل (var/log/)‏ وكانت جميع الملفات فارغة فإن ذلك لا يدل على أن شخصا ما 
قام بإزالتها. بل قد يرجع ذلك لأن المسؤول وضع السجلات في مكان آخر. 





ملفات السجل الموحدة: 


عند JI‏ قية RT à‏ أمني فإن الحا x j‏ ظر à‏ جميع ملفات الدليل gtl‏ 
.(var/log/)‏ وفيما يلي نستعرض بعضا من el‏ تلك الملفات. 


we‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


تحليل الحوادث الأمنية 


الرسائل أو سجل النظام (syslog)‏ وتحتوي معظم تطبيقات ينكس على ملف رسائلء 
لكن بعض إصدارات ينكس تستخدم الملف التالي m (var/log/syslog/)‏ عن ملف 
الرسائل. ومع ذلك فإن المعلومات التي تخزنها تلك الملفات هي المعلومات نفسها الموجودة 
في ملف .(var/log/messages/)‏ وتذهب جميع الرسائل المعلوماتية التي تستخدم خدمة 
(syslog)‏ إلى هذه الملفات. ولذلك فإن هذه الملفات هي المحطة الأولى للمسؤول الذي 
يبحث عن المشكلات ال محتملة» أو المحطة الأولى للمحلل الأمني الذي يبحث عن آثار 


الاختراق. 


ومن الجدير بالذكر أنه يمكن القيام بالفحص الدقيق مملفات سجل نظام ينكس باستخدام 
الأدوات التي تعرضنا لها لحد الآن. خذ على سبيل المثال الشكل (V-W)‏ حيث تم تفريغ 
هذا الجزء من ملف السجل إلى الشاشة باستخدام الأمر التالي: 


zcat syslog.?.gz| grep -v snort | grep -v AptDaemon | grep -v dbus | less 





الشكل :(V- VY)‏ دليل من ملف سجل النظام (syslog)‏ 















an 19:36:01 9 CRON 30617]; (root) OV (start -i anacron || 
an 13 | j ud 
n nq til 
an 1187 àl 
n 0 y lily 
an 11 07 cn[ 30687]: Updated timóstang for job cron dally” to 2013-01-13 
n 1 0556: ry update necessary 
an 13 07:50:08 in ogd: (origin softwares" rsyslogá" shlarsione"S, B.A" x-plt»" 722" x-infos http: / ew. كاز"‎ 101.400" | rsyslogd was Hed 
an 11 07:14:15 ini 120, 385957] device athi left promiscuous mode 
] 17:38:17. in j هرا‎ to rate- Liwiting 
07:38:17 ١ due to rate-limiting 
1 7:10: 
^ 


ted (exit status: 1) (mailing output) 


st/sbin/eondea], not nailing output 








an 11 05:17:48 inigo dhclient: ORCPREQUEST qf 131,247,96,] on eri t 


وهذا الأمر يوجه النظام بفك الضغط عن جميع محتويات الملفات في الدليل الحالي leas‏ 
من مطابقة النمط أعلاه حيث تتسع علامة الاستفهام (7) لأي حرف أو رقم. وبعد ذلك 
يقوم الأمر بإزالة أي سطر يحتوي على (snort)‏ أو (AptDaemon)‏ أو (dbus)‏ ومن ثم 


أمن المعلومات وإدارة مخاطر تقنية المعلومات Yo‏ 


الفصل الثاني عشر 


يقوم بعرض النتائج من خلال أمر الاستدعاء (less)‏ والهدف من القيام بذلك هو تنظيف 
ملف السجل. وفي سجل أحداث نظام ويندوزء سيكون ذلك مشابها للطلب من البرنامج 
بإخفاء رسائل «تدقيق النجاح» (Success Audit)‏ للمبتدئين. وهذا الأمر البسيط يخفض 
عدد الأسطر من 7٠٠١‏ سطر إلى ٠٠٠١‏ سطر فقط. 


والسبب وراء عملية التنظيف هذه واضح. فعندما تبدأ بفحص ملفات السجل فإنك 
تريد أن تنظر في الأحداث الشاذة والغربية. انظر في الشكل )/-١7(‏ مرة أخرى. في منتصف 
الشكل تقريبا يظهر لك سطر السجل التالي: 





جميع سطور السجل التي تستخدم خدمة (syslog)‏ تتبع النمط نفسه: أولا التاريخ, 
ثم الوقت» واسم ال مضيف» وخدمة تسجيل الرسالة» وأخيراً الرسالة الفعلية. وهذا السطر 
بالتحديد يبين أنه في الساعة (VY)‏ وفي يوم )11 (Jan‏ أصبح وضع واجهة «eth0)‏ وهي 
الواجهة السلكية التي تربط المضيف بالشبكة. غير جيد «left promiscuous mode»‏ 
وهذا عادة هثل مصدراً للقلق لأن الواجهة التي تكون في هذا الوضع تصبح قادرة على 
التقاط جميع البيانات التي تراها بما في ذلك حزم البيانات التي لا تنتمي لها. وفي بيئة 
منفصلة قد لا Jie‏ ذلك مشكلة. لكن ف بيئة مشتركةء مثل نقاط الوصول غير ا محمية: OB‏ 
حركة ا مرور من جميع الأجهزة المتصلة بنقطة الوصول ستكون واضحة لجهاز الحاسب الآلي 


(promiscuous mode) في وضع‎ 


سجل المصادقة: 


وينبغي أن يكون سجل المصادقة هو محطة التوقف الثانية لمحلل الأمن. وهذا السجل 
موجود à‏ ملف (var/log/secure/)‏ أو ملف (var/log/auth.log/)‏ حسب اختلاف نظام 
التشغيل. وكما يدل الاسم فإن هذا الملف يحتوي على معلومات امصادقة ومعلومات 
التخويل على النظام. ويوضح الشكل )6-١5(‏ هذا الملف. 


1۳1 أمن المعلومات وإدارة مخاطر تقنية المعلومات 


تحليل الحوادث الأمنية 


(auth.log) ملف‎ :(A-VY) الشكل‎ 








وتم استخراج هذا الملف من صندوق لينكس المكتبي والذي لا يحتوي على أي بيانات جاذبة 
لقراصنة الحاسب. ويعرف هذا الصندوق محطة «التحطم والاحتراق» (crash and burn)‏ 
ويتم إعداد هذا الصندوق ثم تدميره ثم إعداده مرة أخرى وهكذا. والهدف منه هو اختبار 
أدوات التحليل الجنائي الجديدة. 
وبالنظر مرة أخرى إلى ملف السجلء تبين أنه في الليلة السابقة حدث ما يلي خلال 1 ساعات: 
o‏ شخص ما يحاول تسجيل الدخول باسم (aadriano)‏ وذلك باستخدام (ssh)‏ من 
(US Worry V)‏ 
o‏ شخص ما يحاول تسجيل الدخول مرات AJl‏ وباستخدام العديد من كلمات 
اطرورء إلى حساب الجذر من V, VUYAY)‏ ,0( 
ولأنه لا يوجد هناك مستخدم باسم (aadriano)‏ في هذا الصندوقء لا يمكننا إلا الافتراض 
بأن هذا نص برمجي آلي رما يستخدم كلمة مرور معروفة تم الحصول عليها من مكان 
ما للمستخدم .(aadriano)‏ وعند القيام gue cmo‏ على الشبكة للحساب ولعنوان 
بروتوكول الإنترنت. تم الحصول على صفحة من موقع (honeypot)‏ وهو موقع مفتوح 
عمداء وذلك لجذب وتسجيل محاولات التسلل. ويحتوي موقع (honeypot)‏ على كلمات 
اطرور الفعلية المستخدمة ضده للحسابات (admin). (aadriano123). (aadriano)‏ 
وجميع ال محاولات المسجلة في موقع (honeypot)‏ حدثت ف التاريخ نفسه الذي وقعت 
فيه الحادثة الخاصة بهذا JEBI‏ 


أمن المعلومات وإدارة مخاطر تقنية المعلومات 1۳۷ 


الفصل الثاني عشر 


وفي الواقع فإن النقطة التالية مثيرة للقلق» وهي أن عنوان بروتوكول الإنترنت uaa‏ 
شركة اتصالات في روسيا. وعند القيام بالبحث على الإنترنت» م نتوصل لأي سجلات ولأي 
أثر في أي مكان. وفي حين يوجد دليل واضح على أن الهجمة الأولى كانت هجمة آليةء OB‏ 
الهجمة الثانية رها كانت هجمة استكشافية. إذا تكون الخطوة التالية في عملية التحليل 
على النحو التالي: 

التحقق من إصابة أجهزة أخرى في المنظمة بنفس عنوان بروتوكول الإنترنت. 

Jed! gans‏ كاملا دون تضفية: وذلك لنفسن Olgie‏ دزوتوكول الإنارنت: 

فحص ملفات السجل الأخرى في نفس الجهاز. 

إجراءات العمل الموحدة لقراصنة الحاسب 


بمجرد أن تعتاد على تحليل الحوادث ستلاحظ وجود نمط. قراصنة الحاسب المجرمون 
والمنظمون والذين يقومون بهجمات جماعية عادة يقسمون أنشطتهم إلى ثلاث مراحل 


اكتشاف وتحليل نقاط الضعف المحتملة. مسح المنافذء ومحاولات تسجيل الدخول المحدودة 
كما رأينا في هذا القسم» ومسح خادم الشبكة بحثاً عن التطبيقات الضعيفة, كل ذلك أمثلة 
للبحث عن نقاط الضعف المحتملة في مرحلة الاستكشاف. 

وبعد مرحلة الاكتشاف تبدأ مرحلة الاختراق. والهدف من مرحلة الاختراق هو استخدام 


المعلومات المكتشفة في المرحلة الأولى لوضع موطئ قدم في المنظمة المستهدفة. ويقوم 
فريق مرحلة الاكتشاف بتسليم المعلومات لفريق مرحلة الاختراق» وذلك للقيام بالاختراق 
الفعلي. وحتى لو كانت النظم الموجودة في المنظمة ذكية بما فيه الكفاية للقيام بمنع 
التواصل مع المجموعة الأولى من عناوين بروتوكول الإنترنت المشمولة في مرحلة الاكتشاف» 
فإن المرحلة الثانية تستخدم عناوين جديدة كمصدر للهجوم. ومن ثم فلن يتم حظر نشاط 
مرحلة الاختراق. 

وأخيراً تأتي مرحلة الاستغلال. وفي هذه المرحلة قد يتم استخراج بعض البيانات من الأجهزة 
المخترقة. وقد تستخدم بعض الأجهزة لاستغلال منظمات أخرى. وبعض الأجهزة قد تترك 
خاملة Mal‏ في عدم اكتشافها والتوسع في عملية الاستغلال. 





WA‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


تحليل الحوادث الأمنية 


ملف :(wtmp)‏ وهو ليس ملف نصي بل هو ملف ثنائي يحفظ معلومات تسجيل 
الدخول والخروج السابقة. والأمر (who)‏ في نظام ينكس يقوم بقراءة ملف var//)‏ 
(log/wtmp‏ ويعرض على الشاشة قانئمة بآخر المستخدمين الذين قاموا بتسجيل الدخول. 
وبالإضافة إلى ذلك فإن الأمر (last)‏ يقوم بتسجيل محاولات إعادة تشغيل النظام في ملف 
.(var/log/wtmp/)‏ وإذا كنت تبحث عن عدد مرات إعادة تشغيل النظام فإن الأمر 
(last)‏ هو أسهل الأوامر للتشغيل والحصول على النتيجة. والافتراض هنا بطبيعة الحال أن 
السجل الأخير لم يتم تغييره. ويوضح الشكل (۹-۱۲) مثالا على مخرجات الأمر (last)‏ في 
أحد أجهزة لينكس المكتبية. ويحتوي الشكل على اسم المستخدم» ورقم المحطة المستعارة 
ا مرتبطة بتسجيل الدخول» واسم المضيفء والفترة الزمنية التي قام المستخدم بتسجيل 
الدخول فيها. أما مفتاح (a-)‏ في نهاية الأمر فهو يطلب من النظام عرض اسم ال مضيف في 
نهاية السطر. وإذا م يتم استخدام هذا امفتاح» فإن عرض اسم المضيف سيكون في العمود 
الثالث ويُقتطع منه حسب الحاجةء مما يجعل قراءة اسم المضيف كاملا أمرا صعباً. 


الشكل :(S- VY)‏ مثال على مخرجات الأمر (last)‏ 





last -à 
campoe 5/5 Tue Jan 22 09:13 still logged in spinoza.acomp.usf,edu 
campoe 05/5 Thu Jan 17 21:55 - 00:31 (02:35) pool-71-251-115-226. tampf] fos . verizon. 
net 
campoe —pts/2 Mon Jan 14 10:25 still logged in — :0 
campoe tty? Mon Jan 7 10:01 still logged in  :e 
(unknown tty7 Mon Jan 7 10:00 - 10:01 (00:01) :0 


reboot system boot Mon Jan 7 10:00 - 09:25 (14+23:24) 3,5.0-22-generic 


Wtmp begins Mon Jan 7 09:54:17 2013 
ل‎ 


ويتم تدوير ملف (wtmp)‏ بشكل دوري. وتجدر ملاحظة وجود العديد من ملفات 


(wtmp)‏ فى Üvar/log)‏ والمنتهية ب Y «Y‏ وهكذا. ويمكن الوصول إلى هذه الملفات القديمة 
باستخدام الأمر (last)‏ مع .(a-f «filename»)‏ 


أمن المعلومات وإدارة مخاطر تقنية المعلومات 1۳۹ 


الفصل الثاني عشر 


الصديق المفضل لمسؤول النظام 


بإمكانك معرفة الكثير عن أوامر ينكس وعن جميع المفاتيح والخيارات المتاحة باستخدام الأمر 


(man)‏ على سبيل ال مثالء الأمر (man last)‏ سيعطيك وصفا كاملا للأمرء كما يعطيك مؤشر على 
مكان وجود ملف السجل في النظام. كما أن صفحات الأمر (man)‏ توضح الأوامر ذات الصلة 
التي قد تكون مفيدة. 





ملف :(utmp)‏ في حين أن ملف (wtmp)‏ يحفظ معلومات تسجيل الدخول والخروج 
السابقةء فإن ملف (utmp)‏ يشير إلى من e‏ بتسجيل الدخول في الوقت الراهن. وفي بعض 
أنظمة ينكسء يتم الاحتفاظ ملف (utmp)‏ في دليل .(/var/adm/)‏ لكن معظم توزيعات 
نظام ينكس تحتفظ با ملف في دلیل (/var/run)‏ 


وبشكل مشابه لملف wtmp)‏ فإن ملف (utmp)‏ ملف US‏ أيضاً. ويتم فحص 
محتويات هذا ال ملف باستخدام الأمر (50). ويقوم هذا الأمر بقراءة ملف (utmp)‏ 
ومن ثم عرض اسم المستخدم الذي قام بتسجيل الدخولء كما يقوم هذا الأمر بعرض بعض 
المعلومات عن مكان تسجيل الدخول. 

pol‏ مفيد آخر هو الأمر (W)‏ والموضح في الشكل .)٠١-١7(‏ ويعرض هذا الأمر معلومات 
عن النظام» كما يعد هذا الأمر من أول الأوامر التي يقوم محلل النظام بتشغيلها عندما 
يقوم بتسجيل الدخول. ويقوم الأمر (W)‏ بعرض ما يلي: 


dua ٠‏ متى :يعمل جهاز الحاست JII‏ يدها من آخر bole]‏ تشغيل: 
٠‏ ماالمحطات الحقيقة أو ال مستعارة ا مستخدمة. 

e‏ متى قام ال مستخدم بتسجيل الدخول. 

٠‏ هل المستخدم نشط أم لا؟ 

٠‏ معلومات الحمل. 

٠‏ الأوامر التي تعمل بواسطة ال مستخدم. 


16 أمن المعلومات وإدارة مخاطر تقنية المعلومات 


تحليل الحوادث الأمنية 


الشكل :)٠١-١(‏ مخرجات الأمر (w)‏ 


09:53:28 up 14 days, 23:54, 3 users, load average: 0.13, 0.08, 6 
USER TTY FROM LOGIN@ IOLE JCPU  PCPU WHAT 
campoe tty7 :e 6733613 14days 4:22m 6.05s gdm-session-worker [pam/gdm-passwor 
campoe pts/2 :e 143an13 42:05 8.215 8.215 bash 
campoe pts/5 Spinoza.acomp.us 69:13 6.665 8.125 0.005 w 
d ua 


قد لا تكون مخرجات الأمر (W)‏ الموضحة في الشكل (V - MY)‏ مؤثرة جدل لكنها تصبح 
مفيدة جداً في الأنظمة ذات المستخدمين المتعددين حيث يقوم مئات المستخدمين بتسجيل 
الدخول في نفس الوقت. Leo‏ نفترض أنه أثناء تنفيذ الأمر (w)‏ لاحظت أن أحد ال مستخدمين 
يشغل الأمر التالي: 


nmap 192.168.1.024/ > ~/.out/.output.pscan 


وحتى إذا كنت Y‏ تعلم ما يقوم به الأمر (nmap)‏ فإن حقيقة وجود مستخدم للنظام 
يقوم بحفظ بيانات في ملف مخفي وفي دليل مخفي يجب أن يقرع أجراس التحذير. وعند 
البحث على الإنترنت عن الأمر (nmap)‏ نجد أنه ماسح قوي للمنافذ. وتشير مواصفات 
المضيف إل أن هذا المستخدم يقوم مسح كامل للشبكة الفرعية (SY, VY)‏ وحتى 
لو م يكن ذلك مخالفا لسياسة ال منظمة: فإنه يستحق الفحص والتدقيق. وإذا كان عمود 
(FROM)‏ يعرض لك اسم مضيف ليس معروفا لك» فإنه قد يكون حان الوقت للدخول في 
وضع الاستجابة للحوادث. 
سجل خادم الشبكة: 

معظم الحوادث الأمنية التي حدثت في السنوات القليلة الماضية كانت تستهدف أحداثاً 
على شبكة الإنترنت سواء كانت استغلال ثغرات جافاء أو تحميل ملف بي دي اف (PDF)‏ 
مُلوث» أو هجمات حقن تعليمات الاستعلام البُنيوية (SQL injection)‏ الشائعة. ولتحليل 
هذه الأحداث نحتاج إلى عينة من سجل خادم الشبكة. 

والمربع التالي يوضح بعض الأسطر لملف سجل خادم تطبيقات. وهذا الخادم يشغل 
تطبيق (PeopleSoft)‏ والذي يستخدم بدوره خادم مخصص يسمى خادم ويب أباتشي 
(Apache web server)‏ حيث يستخدم التطبيق هذا الخادم في واجهته الأمامية. 


أمن المعلومات وإدارة مخاطر تقنية المعلومات 3١‏ 


الفصل الثاني عشر 


xxx.2xx.89.16 - - [09/May/2012:11:41:37 -0400] «GET /login HTTP/1.1» 
404 338 

xxx.2xx.89.16 - - [09/May/2012:11:41:37 -0400] «GET /sws/data/sws . 
data.js HTTP/1.1» 404 353 

xxx.2xx.89.16 - - [09/May/2012:11:41:37 -0400] «GET /wcd/system.xml 
HTTP/1.1» 404 347 

xxx.2xx.89.16 - - [09/May/2012:11:41:37 -0400] «GET /js/Device.js 
HTTP/1.1» 404 345 

xxx.2xx.89.16 - - [09/May/2012:11:41:37 -0400] «GET /ptz.htm HTTP/1.1» 
404 340 

Xxx.2xx.97.183 - - [09/May/2012:11:41:37 -0400] «GET / HTTP/1.1» 200 
14257 

Xxx.2xx.97.183 - - [09/May/2012:11:41:37 -0400] «GET /authenticate/ 
login HTTP/1.1» 404 352 

xxx.2xx.97.183 - - [09/May/2012:11:41:37 -0400] «GET /tmui/ HTTP/1.1» 
404 339 

Xxx.2xx.97.183 - - [09/May/2012:11:41:37 -0400] «GET /admin/login.do 
HTTP/1.1» 404 348 

Xxx.2xx.97.183 - - [09/May/2012:11:41:37 -0400] «GET /dms2/Login.jsp 
HTTP/1.1» 404 348 

xxx.2xx.97.183 - - [09/May/2012:11:41:37 -0400] «GET /login HTTP/1.1» 
404 339 

xxx.2xx.97.183 - - [09/May/2012:11:41:38 -0400] «GET /sws/data/sws . 
data.js HTTP/1.1» 404 354 

xxx.2xx.97.183 - - [09/May/2012:11:41:38 -0400] «GET /wcd/system.xml 
HTTP/1.1» 404 348 

xxx.2xx.97.183 - - [09/May/2012:11:41:38 -0400] «GET /js/Device.js 
HTTP/1.1» 404 346 

XXX.2xx.97.183 -- — [09/May/2012:11:41:38 -0400] «GET /ptz.htm 
HTTP/1.1» 404 341 

xxx.2xx.89.16 - - [09/May/2012:11:41:38 -0400] «GET /robots.txt 
HTTP/1.1» 404 343 

xxx.2xx.89.16 - - [09/May/2012:11:41:38 -0400] «GET /CVS/Entries 
HTTP/1.1» 404 344 

xxx.2xx.89.16 - - [09/May/2012:11:41:38 -0400] «GET / 
NonExistant1380414953/ HTTP/1.1» 404 355 





1۲ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


تحليل الحوادث الأمنية 


في العينة أعلاه يبدو أن المضيف (SV)‏ يقوم بنوع من البحث على خادم الشبكة. 
ويبدو أن كل سطر يبحث عن تطبيق مختلف. مرة أخرى وباستخدام البحث على شبكة 
الإنترنت اتضح أن (ptz.htm)‏ هي الواجهة الأمامية للكاميرا الأمنية (AXIS)‏ كما اتضح 
أن ملف (sws. data.js)‏ ينتمي إلى حزمة (Awstats)‏ وهي حزمة إحصاءات على شبكة 
الإنترنت. وبالإضافة إلى هذه النتائج» يبدو أن المضيف (SV, VAY)‏ يهاجم المضيف (A,‏ 
والذي يقوم بدوره بتمرير الهجوم إلى خادم الشبكة. وف الواقع. بعد القيام مزيد من 
التحقيق اتضح أن مضيف (AS, V)‏ هو خادم وكيل لتطبيق .(Peoplesoft)‏ 


سجل بروتوكول :(Netflow)‏ 


بروتوكول (Netflow)‏ هو بروتوكول شبي طور من قبل شركة سيس كو (Cisco)‏ 
بهدف جمع معلومات حركة مرور الشبكة المتعلقة ببروتوكول الإنترنت (IP)‏ وأصبح هذا 
البروتوكول خلال السنوات اللاضية معياراً لهذا النوع من السجلات حيث أصبح البروتوكول 
مدعوماً من قبل موردي الأجهزة الشبكية الأخرى. 


وفيما يلي نعرض dus‏ من المعلومات المتوفرة من بروتوكول (Netflow)‏ 


Date Time Source Port Destination Port 
Packets 

201166.2 00:11:19.285 01-12-xx.71.155 34340 1xx.2xx.222.243 443 
TCP 1 60 

201161.1 00:11:46.659 01-12-xx.172.2 35590 1xx.2xx.222.243 80 
TCP 1 48 

201171 00:18:58.992 01-12-.xx.61.163 55194 1xx.2xx.222.243 80 
TCP 3 152 


201166.2 00:18:59.594 01-12-xx.71.155 36614 1xx.2xx.222.243 443 


TCP 3 180 
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الفصل الثاني عشر 


ويُعد سجل بروتوكول (Netflow)‏ مفتاح المقدرة على تكوين علاقات بين الأنشطة 
في الأجهزة المتعددة على الشبكة. وبالإضافة إلى تحديد الوقت فإن سجل بروتوكول 
(Netflow)‏ قادر على تحديد مصدر ووجهة المعاملات. ويعد رقم المنفذ مفيد في تحديد 
الخدمة قيد التشغيل على بروتوكول الإنترنت (IPs)‏ للمصدر و/أو الوجهة. وأخيرا فإن عدد 
الحزم يُعد مؤشرا جيدا لكمية المعلومات التي يتم تبادلها خلال هذا التواصل. ومن المربع 
أعلاه يمكننا معرفة بعض الأمور: 
۰ ربمايعملامطضيف (YYY,Y£V)‏ على خادم ويب من خلال منفذ رقم As‏ وعادة 
يكون رقم امنفذ هذا لخادم ويب غير آمن .(non-SSL)‏ 
٠‏ يعمل نفس بروتوكول الإنترنت على خادم ويب آمن (SSL)‏ من خلال المنفذ القياسي 
الخاص به رقم EEY‏ 
٠‏ كمية حركة المرور على هذه المنافذ تعد مؤشراً على مدى انتشار خادم الشبكة. 
وكمية التواصل غير الطبيعية قد تشير إلى علامات استفهام حول ال محتوى (مثل المواد 
الإباحيةء أو الموسيقاء أو الأفلام) الذي gja‏ بشكل غير قانوني. 
٠‏ بماأنه يوجد خادم ويب قيد التشغيلء IOJ‏ لا بد من وجود ملف سجل في مكان ما 
للمضيف (YYY,Y£V)‏ وإذا كنت تريد معرفة ما تم نقله في وقت محدد» تستطيع 
ذلك من خلال افتراض تزامن ساعة بروتوكول (netflow)‏ وساعة خادم الشبكة. 
وكما ترى فإنه يمكننا الحصول على قدر جيد من المعلومات من أربعة أسطر من سجل 
بروتوكول .(netflow)‏ 


السجلات الأخرى: 


اعتماداً على التطبيقات التي تعمل في نظامك» قد يكون لديك أكثر من سجل لفحصها 
أثناء العمل على تحليل الحادث. وفيما يلي بعض الرسائل المستخرجة من خادم يشغل 
تطبيق (WordPress)‏ وهو أحد أنظمة إدارة المحتوى Content Management)‏ 
(System‏ وتوضح هذه الرسائل أن تطبيق (WP)‏ تعرض لهجوم بواسطة حقن تعليمات 
الاستعلام البنيو (SQL injection) à‏ 
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[07-Dec-2012 02:40:49] WordPress database error You have an error in 


your SQL syntax; check the manual that corresponds to your MySQL server 


version for the right syntax to use near WHERE id = —1\° at line 1 for 
query SELECT text, author id, date FROM WHERE id - —1V 
[07-Dec-2012 02:40:50] WordPress database error You have an error in your 
SQL syntax; check the manual that corresponds to your MySQL server 
version 

for the right syntax to use near WHERE id = 999999.9 UNION ALL 
SELECT 

0x31303235343830303536--' at line 1 for query SELECT text, author id, 
date FROM WHERE id = 999999.9 UNION ALL SELECT 
0x31303235343830303536-- 





التهيئة العامة للسجل والمحافظة عليه: 

gb‏ أنظمة التشغيل والتطبيقات البرمجية من المطور بإعدادات افتراضية لالتقاط السجل 
وهذه الإعدادات الافتراضية لا تتناسب Ulo‏ مع النتائج المطلوبة. وكما ذكرنا في بداية هذا 
الكتاب» فإن موظفي تقنية المعلومات يريدون استخراج أشياء مختلفة من السجلء وما 
يريده المستخدم قد لا يرغب فيه ا محلل الأمني. على سبيل المثالء قد لا يهتم المستخدم على 
الإطلاق بسجلات تسجيل الدخول وتسجيل الخروج ف الأجهزة المكتبية. ومن الواضح أن 
هذه المعلومات قيمة جداً من وجهة نظر المحلل الأمني. لذلك فإن المهمة الأولى المطلوب 
إنجازها عند التعامل مع تهيئة وحفظ السجل هي تحديد الجمهور. من هو امهتم برؤية 
السجل؟ وهل هناك موضوع ذو علاقة بالامتثال ويتطلب إعداد السجل وتحديد نشاطه؟ 
على سبيل «JUL‏ هل يُطلب من المنظمة من قبل مدقق الحسابات الاتحادي Federal)‏ 
(Auditor‏ أن يتم تسجيل جميع من يصل إلى أرقام الضمان الاجتماعي Social Security)‏ 
(Numbers‏ المحفوظة في قاعدة البيانات؟ هل يطلب من المنظمة المحافظة على معلومات 
السجل لعدد معين من الأيام؟ وما المعلومات التي ينبغي للمنظمة المحافظة عليها؟ 
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الفصل الثاني عشر 


كل ما سبق من أسئلة لها علاقة بالامتثالء وأسئلة الامتثال ليست بالضرورة نفس الأسئلة 
الأمنية. الآن سنلقي نظرة على تغييرات التهيئة الأساسية ونسأل مرة أخرى السؤال التالي: 
ما الذي يجب أن أحتفظ به؟ مع إبقاء أعيننا على الجانب الأمني. الشكل (VW)‏ يوضح 
إدخالات سجل الأحداث الأمنية بالإعدادات الافتراضية وذلك من تثبيت الإصدار المبكر 
لنظام التشغيل ويندوز A‏ 

ناقشنا سابقاً حقيقة أن السجل الأمني هو أسرع السجلات ف الامتلاء والتدوير. والسبب 
في ذلك هو تسجيلات الدخول الناجحة والمتكررة من المستخدمين. وفي هذه الحالة لدينا 
الخيارات التالية: 


٠‏ زيادة الحد الأقصى لحجم ملف السجل: وهذا يعطينا بعض الوقت الإضافي والذي 
قد يكون كافياً للسماح بعدد ملائم من الأيام للاحتفاظ بالسجل في أجهزة الحاسب 
الشخصية. لكن هذا الحل ليس «مناسبا للجميع» فقد لا يكون عمليا في بيئة 
ا منظمات. فيمكن أن يقوم مسؤول النظام بتحديد أحجام سجل مختلفة لأجهزة 
حاسب آلي مختلفة اعتمادا على نمط الاستخدام. 

٠‏ عدم تسجيل رسائل «التدقيق الناجح»: وقد يبدو هذا الخيار مقبولا على الأقل 
في البداية. لكن ينبغي ألا يكون الخيار الأول للمحلل الأمني. فإذا قمت بإزالة 
كافة التسجيلات الناجحة من السجلء فإنك لن تعرف عدد المرات التي قام قراصنة 
الحاسب فيها بتسجيل الدخول لجهاز الحاسب الآلي باستخدام كلمة مرور مسروقة 
في الساعة الرابعة صباحا! ولمثال عملي عن ذلك انظر العمود الجانبي في الصفحة 
التالية. 
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تحليل الحوادث الأمنية 


الشكل :(VV-W)‏ قصاصة من السجل الأمني 











Source Event iD Tosk Category 








Cewer 


Microsoft Windows security sudi.. 


Audit Success 
Audit Success. 





Event 4548, Microsef Windows tecurty audeng x 
Gener Detals 


A logon was attempted using explicit credentiais. 


[Subject 





Logon ID: 


edu‏ تله مود 


((0000000-0000-0020-00X00- 000003000000) 





Target Server 
Target Sever Name USEDCOS foresta adu 
Addecnal lntormation UFOO forestus edu 


Process Infcemibon: { 
Leg Name Security 
Seurte Micreseft Window secunty Logget 1/15/2013 1-21:56 PM 


teen O dnt Task Category. Logon 
Level formate Keyword Auda Success 
User wa Compter  amyrantha 
OgCode kéo 

More Informatics: Evert Log Online Help 


٠‏ تدوير وأرشفة الملفات القدهة: ونمة خيار آخر يتمثل في أرشفة الملفات وبدء 
سجل جديد. وهذا الخيار جذاب لأنه يجعل حجم ملفات السجل صغيراً وأكثر 
قابلية للإدارة كما يساعد على الاحتفاظ محتويات السجل لفترة طويلة من الزمن. 
والنقطة السلبية لهذا الخيار هي استخدام مساحة القرصء فلو افترضنا أنك ترغب 
في الاحتفاظ بالنسخ الخمس الأخيرة من ملفات السجل بحيث يكون حجم كل ملف 
٠‏ ميقا بايت» فإن حجم السجل الأمني سيصل إلى ٠٠١‏ ميجا بايت. ماذا عن بقية 
ملفات السجل الأخرى؟ ولذلك فإن استخدام مساحة القرص سيكون في ازدياد. 
asd‏ الأفغبل هه تقل oa‏ السجل يعدا إل isi ee‏ كان ذلك ممكناء ias‏ 
نون ذلك Bl Caes uel‏ عن معلومات السكل. وقد فت إضافة هذا الخبار 
في نظام التشغيل ويندوز A‏ وهذه الأحداث التي يتم تصديرها ستوضح سجل الأحداث 
امرسلة (Forwarded Events)‏ 


أمن المعلومات وإدارة مخاطر تقنية المعلومات eV‏ 





الفصل الثاني عشر 


وتعرف عملية تصدير السجل من الجهاز الأصلي إلى جهاز مركزي مخصص لتجميع 
السجلات بعملية دمج السجلات. ومن وجهة نظر أمنية ومن وجهة نظر الامتثال Laf‏ يعد 
تصدير السجلات الخيار الأفضل وذلك لعدة أسباب. بالنسبة للمبتدثين» يسمح هذا الخيار 
daa Jo‏ المبسط ين السسجلات وأجهزة الحاسب SI‏ المختلقة.وبوجوه جميع النجلات فى 
مكان واحدء لا يحتاج المحلل الأمني للانتقال إلى عدة أماكن gazd‏ المعلومات. وف الواقع 
فإنه من الصعب جمع السجلات خصوصاً إذا كنت لا تعرف المضيف الذي تم اختراقه. 
مثلاً في حالة دمج السجلات يقوم المحلل الأمني بالنظر في ملفات الوصول led‏ عن جميع 
محاولات الاتصال من بروتوكول إنترنت (IP)‏ معين. وبذلك تكون العملية أسهل وأسرع, 
وهذا هو المطلوب خصوصاً عندما تكون في منتصف الحادث الأمني لأن دقائق توقف 
النظام قد تتحول إلى ملايين من الدولارات (الشكل .)17-١1‏ 


الشكل :(YY-W)‏ دمج السجلات 


السجلات 
المدمجة 


سجل قاعدة 
البيانات 
لخادم أ 


والخطوة الأولى التي يقوم بها قرصان الحاسب ذو الخبرة عندما يقتحم أحد أجهزة 
الحاسب JYI‏ خصوصاً في بيئة ا منظمات» هي مسح وتعطيل كل السجلات في محاولة 
لطمس معام جرهته. وإذا كانت مدخلات السجلات يتم تصديرها إلى جهاز آخر فور 
حدوثها وفي الوقت الفعلي فإن محلل الأمن سيكون قادراً على الحصول على النسخة الأصلية 
من السجلات حتى في حال تلف السجلات اطحلية. 


IA‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


تحليل الحوادث الأمنية 


وحمي تصدير السجلات أيضا من خطر إسادة استخدام الصلاخيات من قبل مسؤول 
النظام حيث يستطيع مسؤول الخادم بسهولة تغطية آثاره في حال الاحتيال وذلك عن 
طريق تعديل معلومات السجل. وبطبيعة الحالء هنا تنبيه: في حال إعداد جهاز مركزي 
لحفظ السجلات يجب أن يتم الوصول إليه اعتماداً على مبدأ «الحاجة للمعرفة» فقط. 
والممارسة العامة هنا هي السماح فقط بلوظفي الأمن بالوصول لهذا الجهازء مع إعطاء 
صلاحية (القراءة فقط) للمسؤولين الآخرين حسب الحاجة. 


الاستجابة المباشرة للحوادث الأمنية: 

القاعدة الأولى للأدلة الجنائية هي استعادة أكبر قدر ممكن من البيانات دون تعطيل 
النظام إذا كان ذلك ممكناً. وفي بعض ol ME‏ وتبعاً للضرر الناتج» يقوم المسؤول بسحب 
القابس من الجهاز أو فصل الجهاز من الشبكةء وبعد ذلك يقوم بطرح الأسئلة. 

لكن إذا كان الوضع يسمح بتحليل النظام المخترق دون تعطيله. فإن ذلك قد يزود 
المحققين بالكثير من البيانات. وتتضمن الاستجابة المباشرة للحوادث الأمنية بيانات مستقرة 
وبيانات غير مستقرة. البيانات المستقرة هي البيانات المحفوظة في أجهزة حفظ دائمة مثل 
الأقراص الصلبة. أما البيانات غير المستقرة فهي البيانات التي تُفقد عند إعادة تشغيل 
النظام مثل العمليات الجارية» ومحتوى الذاكرة المتنقلة. واتصالات بروتوكول التحكم بالنقل 
(TCP)‏ وبروتوكول وحدة البيانات المستخدمة (UDP)‏ وغيرها. وعند الانتهاء من gaz‏ 
تلك البيانات فإنه يتم نقلها من الجهاز من خلال أي وسيلة ممكنة. ومن التطبيقات الشائعة 
المستخدمة في نقل تلك البيانات إلى محطة أخرى (والتي تعرف عادة بمحطة التحليل الجنائي) 
تطبيق (netcat)‏ وتطبيق .(cryptcat)‏ ويعمل تطبيق (netcat)‏ على إنشاء قناة تواصل 
بين جهاز الحاسب الآلي قيد التحقيق ومحطة التحليل الجنائي باستخدام بروتوكول التحكم 
بالنقل (TCP)‏ ويتضمن هذا التطبيق دالة المجموع الاختياري ودالة (MDO)‏ للتأكد من 
سلامة البينات» أما تطبيق (cryptcat)‏ فهو النسخة المشفرة من تطبيق (netcat)‏ 


وأحد الأوامر الهامة هو أمر .(systeminfo)‏ ويوضح الشكل (Y- Y)‏ مخرجات الأمر 
(systeminfo)‏ من جهاز حاسب Ji‏ مكتبي يعمل على نظام ويندوز ۸. ومن امثير للاهتمام 
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أن هذا الأمر هو من الأوامر الأولى التي يقوم قراصنة الحاسب بتشغيلها في الجهاز المخترق 
وذلك لمعرفة مدى قوة الجهاز ومقدار المساحة المتاحة. كما يحدد هذا الأمر التصحيحات 
التي تم تطبيقها على النظام. 


قراصنة الحاسب والتصحيحات 


ليس من المستغرب أن يقوم قراصنة الحاسب بتصحيحات للجهاز بعد اختراقه. ويقوم 


قراصنة الحاسب بذلك ليس لأنهم طيبو القلب بل حتى يضمنوا عدم وصول قراصنة آخرين 
إلى الجهاز نفسه. 





وبشكل عام فإن قراصنة الحاسب يفضلون أدوات سطر الأوامر حتى يتمكنوا من 
قراءة المخرجات وتقييمها من نظام آخر بسهولة. ومن الشائع أن نجد ملفات السجل في 
مخرجات هذه الأدوات موجودة في حزمة واحدة وذلك عند التحقيق في حالة جهاز مخترق. 


(systeminfo) مخرجات الأمر‎ :(YY- VY) الشكل‎ 


Command Prompt 


icrosoft Windows [Version 6.2.9208] 
<c) 2012 Microsoft Corporation. All rights reserved. 


TMÜsers*campo 8885s ysteninfo 


MR LRZRN-CRMPOE 

Microsoft Windows 8 Enterprise 
6.2.9200 N/A Build 6 
Microsoft Corporation 
Standalone Workstation 
Multiprocessor Free 


Registered Ouner: canpoe@out look.con 
lRegistered Organization: 


98178-580477-01524-n0453 
1/16/2013, 10:58:03 AM 
1/21/2013. 6:31:13 RM 
ASUSTeK Computer Inc. 
U46SM 
Systen Type: x64-based PC 
IProcessorts2: 1 Processor(s) Installed. 
مع‎ [81]: Intel64 Family 6 Model 42 Stepping 7 GenuineInt 
e na z 


BIOS Version: American Megatrends Inc. U46SM.203, 12/22/2011 
indous Directory: C:NMindous 


stem Directory: C:NMindous*ssustem32 





استعادة الملفات: 
يقوم قراصنة الحاسب بتوليد السجلات. كما هلك قراصنة الحاسب بعض الأدوات 
التي يقوموا بنقلها إلى الأنظمة dd exl‏ متضمنا ذلك أدوات تشخيص الأنظمة التي 


-10 أمن المعلومات وإدارة مخاطر تقنية المعلومات 


تحليل الحوادث الأمنية 


ناقشناها سابقا. وعادة ما يتم إزالة هذه السجلات والأدوات من النظام بمجرد البدء في 
عملية التحقيقء لكن الحصول على مثل هذه الملفات مثل إضافة كبيرة للتحقيق. وتعد 
استعادة الملفات أمراً مفيداً خاصة في حالات التحقيق مع الأفرادء وحالات «Jie MI‏ وحالات 
الاستخدام غير النظامي all‏ المنظمة. 

وهناك فرق بين حذف الملف (deleting)‏ ومحو ال ملف .(erasing)‏ وعادة يعتقد 
الممستخدم أنه عند الضغط على زر الحذف (delete)‏ في جهاز ويندوز فإنه سوف يتم إزالة 
ا ملف من النظام بشكل فعال. في حين أن هناك مستخدماً أكثر تطوراً يدرك أنه يجب 
«تفريغ سلة المهملات» حتى يتم إزالة املف من النظام. لكن عدداً قليلاً من ال مستخدمين 
يدرك أنه حتى عند الأخذ بهاتين الخطوتين لا يزال هناك إمكانية لاستعادة البيانات اممرتبطة 
بهذا الملف. 

وهنا تبسيط لعملية حفظ ملفء فعندما يتم حفظ ال ملف في جهاز الحاسب الآلي 
فإنه يتم تقسيم ذلك الملف إلى عدة أجزاء. يحتوي الجزء الأول على المعلومات التي 
تحدد مكان حفظ الأجزاء الأخرى على القرص (والتي يشار إليها ب «واصفات البيانات» 
.((metadata)‏ فعندما يتم حذف الملفء يقوم نظام التشغيل بحذف الجزء الأول» وهو 
مؤشر العنوان» ويترك أجزاء البيانات الفعلية دون أن تمس ويضع عليها علامة «صالحة 
للاستخدام» (usable)‏ 

ومن أجل تجنب فقدان البيانات ex‏ نسخ مؤشر العنوان في مواقع متعددة على النظام. 
فإذا تم إعادة بناء الجزء الأول اعتمادا على الأجزاء الاحتياطية قبل استخدام الأجزاء التي 
وضع عليها علامة أنها متاحةء فإنه يمكن استرداد املف بأكمله. وهناك طريقة أخرى لإعادة 
ناه املف ca Ue oca‏ سيك اول ai bl odas‏ عاد اتتا املك ااا 
على محتويات كل جزء من أجزاء ا ملف وليس اعتماداً على واصفات البيانات (metadata)‏ 

ويوضح الشكل )۱٤١-١١(‏ تشغيل أمر (System File Check)‏ في جهاز بنظام تشغيل 
ويندوز A‏ ويتم تشغيل هذا الأمر عادة عند فقدان واصفات البيانات لملفات محددة 
وذلك عند تحميل نظام التشغيل. 


أمن المعلومات وإدارة مخاطر تقنية المعلومات 10 


الفصل الثاني عشر 


اعتماداً على المحادثة الحاليةء كيف يمكن محو الملف بشكل فعال؟ إن أسهل الطرق هي 
الكتابة على أجزاء البيانات بمحتويات عشوائية حيث تزيل هذه الطريقة المعلومات الحقيقية 


من جميع أجزاء البيانات مما يجعل استعادة الملفات غير ممكنة سواء باستخدام طريقة نحت 
الملفات أو غيرها. وللأسف فإن قراصنة الحاسب على علم بهذه المعلومة أيضا. 





(System File Check) أمر‎ :(V€-VY) الشكل‎ 


Administrator: GA Windows system32Va 


mM 
Microsoft Windows [Version 6.1.7601] 
Copyright (c> 2009 Microsoft Corporation. All rights reserved. 


G:NIsersNkanlesh?sfc /SCRNNOWU 


Beginning system scan. This process vill take some time. 





الأوقات الزمنية المرتبطة بالملفات :(MAC times)‏ 

ناقشنا فيما سبق الأوقات الزمنية للأحداث التي وجدناها في جميع أنواع ملفات السجل. 
والآن سنتحدث عن الأوقات الزمنية ال مرتبطة بملفات البيانات. 

تحتوي جميع الملفات. سواء كانت في نظام ينكس أو نظام ويندوزء على ما لا يقل عن 
ثلاثة أنواع من الأوقات الزمنية المرتبطة بتلك ال ملفات. وتعرف تلك الأوقات الزمنية ب 
(MAC times)‏ وهي: 

٠‏ وقت التعديل: ويشير إلى الوقت الذي تم فيه آخر تعديل على الملف. 

٠‏ وقت الوصول: ويشير إلى الوقت الذي تم فيه آخر وصول أو قراءة للملف. 


٠‏ وقت الإنشاء: ويشير إلى الوقت الذي تم فيه إنشاء الملف. 


10۲ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


تحليل الحوادث الأمنية 


dallas‏ هاةة ل سعل snb Usos day‏ غالا فماسح الفیروسات» على 
سبيل المثالء قد يقوم بالوصول إلى جميع ملفات النظام يومياء وذلك أثناء البحث عن 
الفيروسات. وتطبيق إلغاء تجزئة القرص يتمكن من الوصول إلى بقايا البيانات في الأقراص 
الصلبة» وذلك لتحسين الأداء عن طريق إزالة ال مساحات الفارغة بين البيانات. وكلا النشاطين 
السابقين يؤثر في وقت الوصول DA‏ النظام. ويمكن تعطيل متابعة وقت الوصل بواسطة 
مسؤول النظام بهدف تحسين أداء نظام الملفات. 

من جهة أخرى يتسم وقت التعديل ووقت pom‏ بموثوقية أكبر. ues‏ الرغم من أن 
هذين الوقتين مکن تغييرها EER‏ إلا أنها لا oK‏ أن "m‏ بواسطة قراصنة الحاسب. 

دعنا نفترض أنه أثناء فحص سجل برتوكول Use (netflow)‏ على اتصال مشبوه باستخدام 
خدمة (ssh)‏ في الخادم الذي نفحصه. هنا يستطيع سجل برتوكول (netflow)‏ تحديد 
الوقت الزمني المرتبط بهذا الاتصال. كما يشير سجل برتوكول (netflow)‏ إلى عدد كبير من 
الحزم التي يتم نقلها إلى الخادم» ويلاحظ أن بعض الأحمال الحاسوبية انخفضت من النظام. 
لكن سجل برتوكول (netflow)‏ لا يستطيع أخبارنا ماهية الأحمال التي انخفضت. وحتى 
نعرف ماهية الأحمال التي انخفضت ت لا بد من القيام بفحص النظام. وهكننا أن نفحص 
أدلة الملفات واحداً بعد آخر في محاولة مملاحظة ما هو خارج عن المألوف. لكن بدلا عن 
ذلك هكننا بناء جدول زمني لملف الخادم ومن ثم تحديد الملفات التي أنشئت في وقت 
مقارب للوقت الذي عثرنا عليه في سجل بروتوكول (netflow)‏ 

ويوضح الشكل )١0-١7(‏ طريقة معرفة الأوقات الزمنية المرتبطة بالملفات (MAC times)‏ 
ببساطة حدد الملف. ثم انقر بزر الفأرة الأمن, ثم اختر خصائص (Properties)‏ ويمكنك 
E‏ عرض التواريخ المختلفة المرتبطة بدليل كامل وذلك الا مستكشف الملفات 
وعرض العمود ال مناسب. كما هو الحال في السكن (YV- Y)‏ دوتهه ما اة افا طريقة 
سريعة لعرفة الأوقات الزمنية المرتبطة بال ملفات في نظام قيد التشغيل. لكن إذا كنت 
بحاجة لفحص القرص بالكامل فإنه من الأسهل استخدام أداة لفحص الأدلة بطريقة متكررة 
مثل أداة (mac robber)‏ أو غيرها من أدوات الأدلة الجنائية. 


أمن المعلومات وإدارة مخاطر تقنية المعلومات 0Y‏ 


الفصل الثاني عشر 


الجداول الزمنية: 


بمجرد الانتهاء من تجميع المعلومات فقد حان الوقت لبناء الجدول الزمني للحادث 
الأمني. وتشكل ل الزمنية جزءا أساسياً من عملية التحليل. ويعد وضع الجداول 
الزمنية في أجهزة متعددة وربط تلك الجداول ببعضها البعض وربطها كذلك بسجل الشبكة 
جزءا كيرا من عمل الأدلة الجنائية. 

ويوضح الشكل (YV-W)‏ عينة لجدول زمني لخادم من خمسة خوادم كانت جزءاً من 
حادث أمني وقع في عام .Y--1‏ 959 التقرير الناتج يتكون من YO‏ صفحة. ويوضح التقرير 
أن الأنشطة المشبوهة في خادم (كينيا) كانت مؤكدة أيضاً في الخوادم الأخرى. وا مسح 
الذي بدأ في كينيا تم اكتشافه في خادم (أ) والعكس صحيح. وتم بناء الجدول الزمني كاملا 
اعتمادا على فحص ملفات السجل المتنوعة في الخوادم الخمسة الأخرى. 


الشكل :)١0-١7(‏ الأوقات الزمنية ال مرتبطة بالملفات (MAC times)‏ 


General Security | Details 


wi : Chapter14- Incident Analysis 


Type of file Microsoft Word Document (.docx) 


Opens with: |W Microsoft Word Change 


Location: C:\Users\Alex.familyroom-pc\Dropbox\lS Book 
Size 3.24 MB (3,406,574 bytes) 


Size on disk: 3.25 MB (3,407,872 bytes) 


Created: Saturday, January 19, 2013, 7:07:57 PM 
Modified Today, January 23, 2013, 2 hours ago 


Accessed Today, January 23, 2013, 4 minutes ago 


Attributes:  ]Read-ony | |Hidden Advanced.. 





10€ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


تحليل الحوادث الأمنية 


الشكل :)١5-١١(‏ مستكشف الملفات بالأوقات الزمنية 
Date create Date modified Type‏ 

4. Cache 

Aa Cybersecurity Posters 


d- Final Drafts - Policies 2012 Revision 


4. Home Manuels 


Ja IS Book 
J ısw 
أن‎ mSecure 


Ji. NotesPius 
Ja NUR3175 TO SHARE 


J Perf Eval 2011 19/2013 6,52 PM MEC) — fia 
dJ- Photos 1/19/2013 6:52 PM 1/19/2013 7:20 PM File foldet 
Je Public 


الشكل äus :(W-YY)‏ لجدول زمنى 
Kenya Historical‏ 
97.140 


موضوعات ذات علاقة بأدلة التحليل الجنائي: 

يعد موضوع أدلة التحليل الجنائي لتقنية المعلومات موضوع واسع للغاية ويحتاج فصل 
دراسي كامل لمناقشته. والمهارة تأت فقط عن طريق الخبرة في هذا المجال. فالتدريب يجب 
أن يكون مستمراً لأن الأجهزة ا محوسبة ذات القدرة الشبكية تتوسع باستمرار بدءا من 
الهواتف الذكية ووصولاً لمنظمات الحرارة الذكية.. والكثير من الأجهزة الإلكتزونية العقدة 
أصبحت «ذكية» وبدأت تأخذ جزءاً مهماً في العام الذي نعيشه. 


أمن المعلومات وإدارة مخاطر تقنية المعلومات 100 


الفصل الثاني عشر 


ويجدر بنا أن نذكر بعض التطورات الجديدة لأنها تجلب تحديات رئيسية لأدلة التحليل 
الجنائي. وأحد تلك التطورات هو التخزين في السحابة الإلكترونية مثل التخزين من خلال 
تطبيق (Dropbox)‏ ويعد هذا الموضوع جديدا على أمن المعلومات بشكل عام وأيضاً على 
أدلة التحليل الجنائي بشكل خاص. على سبيل JUL‏ ا لملفات المحفوظة باستخدام تطبيق 
(Dropbox)‏ يتم مشاركتها مع أجهزة حاسب Ji‏ متعددة في شبكة حسابات (Dropbox)‏ 
كما أن الملفات المحذوفة من مجلد (Dropbox)‏ الموجود في جهاز الحاسب الآلي لا يتم 
حذفها من البوابة الإلكترونية ل (Dropbox)‏ ويمكن استعادتها بسهولة كما هو موضح في 
الشكل .)16-١5(‏ هل يستطيع المحقق الوصول لسجلات (:50م1020)؟ وما مدى ذلك 
الوصول؟ وهل يتطلب ذلك مذكرة من المحكمة؟ 

الفوانك الذكية: والأعيرة aeg‏ المتقصية تعر Lo!‏ بعضن bs‏ افا ماقا 
موضوع (أحضر جهازك الخاص) (BYOD)‏ وهو استخدام الموظف جهازه الشخصي لأداء 
العملء وعادة يتضمن ذلك استخدام بيانات مقيدة تملكها الشركة. وتم تطوير أدوات 
أدلة التحليل الجنائي بحيث تسمح للمحقق بتحليل صور القرص وتحليل ملفات الهواتف 
الذكية. ومعظم هذه الأدوات تعمل على نسخ احتياطية من الجهاز وليس على الجهاز 
نفسه. ويترتب على ذلك إما ملكية الجهاز من أجل إنشاء نسخ احتياطية أو إمكانية 
الوصول إلى النسخ الاحتياطية الموجودة. ومن ثم فإن التحقيقات الداخلية تكون في مأزق 
لأن الوصول إلى أحد هذه الخيارات يتطلب تعاون الموظف (والذي لا يتوافر في الغالب) أو 
مذكرة من المحكمة. 

وبشكل مشابه لبقية موضوعات أمن تقنية ا معلومات» فإن على أدلة التحليل الجنائي 
مواكبة وتيرة التطور التقني. وفي JS‏ مرة يكون هناك إصدار جديد لنظام التشغيلء أو 
جهاز جديد يحتوي على أنواع جديدة من ملفات النظام» فإن على أدوات التحليل الجنائي 
أن تتطور وتتكيف مع الوضع الجديد. وسيكون هناك Ulo‏ نوع من التأخر مما يستلزم 
على المحققين أن يكونوا قادرين على إيجاد البدائل والاجابات الإبداعية عندما يتطلب 
الوضع ذلك. 


101 أمن المعلومات وإدارة مخاطر تقنية المعلومات 


تحليل الحوادث الأمنية 


الشكل :)186-١١(‏ أمن المعلومات وإدارة المخاطر التقنية ليست مرعية من قبل شركة (Dropbox)‏ 


$7 Dropbox è m 2 


Adult Soccer League..oyjog @ « wu 


WE | 11.036 062311 OASIS FML.pd* umen 6/23/2011 6.07 A 





BB Aur Soccer League -FLYER - Copy Jeg déieted image jpg a 


Adult Soccer League - FLYER jpg 


نموذج حالة - اختراق الخادم الاحتياطي: 

في أحد الأيام تم اختراق أحد أجهزة الحاسب الآلي في قسم تقنية المعلومات في الجامعة. 
وكان ذلك الجهاز يستخدم كجهاز احتياطي لأنظمة التعامل مع البطاقات الائتمانية وكان 
الجهاز في طور إعادة البناء عندما تم اختراقه. ويشتبه أن الاختراق تم من خلال استغلال 
ثغرة معروفة في نسخة قدهة لخادم قاعدة البيانات (MySQL)‏ المثبتة في الجهاز. والسبب 
الرئيسي للقلق هو أن ملفاً هاماً يحتوي على بيانات حساسة قام قراصنة الحاسب بنقله من 
الجهاز قبل اكتشاف الاختراق. لكن نتيجة لسياسات المنظمة وتطبيق تلك السياسات» تم 
تشفير ال ملف بشكل كبير لذا لا مكن قراءته من قبل قراصنة الحاسب دون معرفة المفتاح 
الخاص. ولا يعرف هذا المفتاح الخاص سوى شخصين داخل المنظمة. 

والجدول الزمني للحادث مفيد جداً لأنه يوضح وتيرة الهجمات والحاجة للاستجابة 
السريعة من قبل تقنية المعلومات. وجميع الأحداث في الجدول التالي حدثت في يوم واحد. 


قام جهاز حاسب JE‏ بفحص بيانات الجامعة LS‏ قام بجمع معلومات من 
خوادم MySQL)‏ وعنوان بروتوكول الإنترنت لذلك الجهاز هو »)١,5,7,6(‏ 
كما أنه مسجل ل (http://www.example.com)‏ وموجود في مدينة تامبا 
بولاية فلوريدا. 


الساعة ٠١:9١‏ صباحاً كما قام جهاز حاسب آلي بعنوان بروتوكول الإنترنت (7,,5,0) ومسجل ل 
(Big ISP)‏ في بلجيكا باختراق الجهاز ا محاي بنجاح. 





أمن المعلومات وإدارة مخاطر تقنية المعلومات 30V‏ 


الفصل الثاني عشر 


الساعة ٠١:0"‏ صباحاً 


الساعة ٠١:0۷‏ صباحاً 


الساعة ١١:١١‏ صباحاً 


الساعة ١١:۰۲‏ صباحاً 


الساعة ١١:١١‏ صباحاً 


الساعة ١7:00‏ ظهراً 


الساعة ١1:49‏ ظهراً 


bab ٠:٠١ الساعة‎ 


"10^ 


تم إنشاء باب خفي عن طريق منفذ .)٠٠١(‏ وتم استخدام هذا الباب 
الخفي لتشغيل برمجيات تشخيصية على الجهاز» كما تم نقل ملفات البيانات. 


تم رفع الأدوات التشخيصية إلى الخادم بواسطة قراصنة الحاسب. 


أول برنامج تشخيصي هو (getallinfo.bat)‏ وقد انتهى من مهمته حيث قام 
هذا البرنامج بتحديد قطع الأجهزة المادية على جهاز الحاسب الآلي ها في ذلك: 
سرعة وحدة المعالجة المركزية. 

مساحة القرص والذاكرة. 

قائمة بأحداث النظام المسجلة على الجهاز. 

قائمة مكتملة بجميع أجهزة الحاسب الآلي التابعة لنفس النطاق الذي يتبع 
له الجهاز المخترق. 


ثاني برنامج تشخيصي هو (speed.bat)‏ وقد انتهى من مهمته حيث قام هذا 
البرنامج بجمع معلومات جديدة ا في ذلك: 

معلومات عن قطع الأجهزة المادية. 

قائمة بالعمليات الحالية التي تعمل على الجهاز. 

قانئمة بالخدمات. 

معلومات عن المستخدم الذي قام حالياً بتسجيل الدخول. 

cà LU‏ الذي يحتوي على معلومات حساسة عن البطاقات الاثتمانية 
(datatodate.zip)‏ تم نقله من الجهاز. وهذا ا ملف مشفر بشكل كبير. 
وا مفتاح الخاص اللازم لفك شفرة الملف ليس موجوداً في الجهاز المخترق Js‏ 


o ze CUN 
يعتقد بانه تم اختراقه.‎ 


تم اكتشاف الاختراق وتم إصدار تذكرة بالموضوع. كما تم التواصل مع 
المسؤول المحلي. 


تم Bale]‏ تشغيل الباب الخفي الخاص بنقل الملف من الخادم المخترق. 


تم إزالة الجهاز عن الشبكة بواسطة المسؤول المحلي. 
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ويشير تثبيت خادم بروتوكول نقل الملفات (FTP)‏ إلى أن قرصان الحاسب الذي اخترق 
الخادم كان ينوي جعل الخادم جزءاً من شبكة من الأجهزة المخترقة التي تستخدم لتوزيع 
البرمجيات المقرصنة. وما يثير الدهشة هو أنه على الرغم من أن الهجمة م تكن تستهدف 
الأجهزة التي تحتوي على معلومات مالية: إلا أن المهاجم تمكن وبسرعة من تحديد مكان 
ا ملف الذي يحتوي على المعلومات الحساسة. ومع ذلك فإن ا معلومات الموجودة في ا ملف 
المسروق ما زالت في أمان بسبب التشفير. 


وتم استخلاص الدروس التالية وتطبيقها بعد تحليل هذا الحادث الأمني. 


قائمة التحكم في الوصول: 
قانئمة التحكم في الوصول هي خط الدفاع الأول ضد الهجمات» وتم وضع هذه &£UJI‏ 
على الشبكة حيث تتحكم القائمة بالسماح للأجهزة بالوصول للخدمات في الأجهزة ا مستهدفة 
الأخرى. 
تحديث :(MySQL) esl‏ 
ويبدو أن هذا هو مصدر الثغرة التي سمحت لقراصنة الحاسب باختراق النظام. ومن 
ثم فإن تصحيح نظام التشغيل فقط لا يحل جميع القضايا الأمنية. ويجب أن يكون 
مسؤول النظام ا محلي على معرفة بجميع التطبيقات التي تعمل على الجهاز» كما يجب 
عليه التعامل مع تحديثات الأمان الضرورية على وجه السرعة. 
الخطوات الإضافية التي تم اتخاذها: 
ه مراجعة كاملة وشاملة للعمليات والإعدادات لضمان بيئة آمنة. 
٠‏ تم وضع برنامج مراجعة قائمة الوصول لبروتوكول الإنترنت (IP)‏ ومراجعة وصول 
المستخدم الوظيفي للنظام وذلك لضمان الإدخالات الضرورية. 
٠‏ تم إنشاء أو تحديث الوثائق الهامة ا مرتبطة بالإجراءات الأمنية وخطط التعافي من 
الكوارث. 
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والاحتياطية. 
٠‏ لايتم حفظ هذه الملفات على الخوادم» وإذا تم إرسال شيء إلى أحد الموردين فإنه 
يتم حذفه على الفور. 
أسئلة مراجعة للفصل: 
.١‏ ما تحليل الحوادث الأمنية؟ وما هدف تحليل الحوادث الأمنية؟ 
.Y‏ ما تحليل السجل؟ وما هدف تحليل السجل؟ 
۳. افتح برنامج «عارض الأحداث» (Event Viewer)‏ في جهازك. ما آخر الأحداث 


ا موضحة في جانب «الأحداث الإدارية» (Administrative Events)‏ 
€. ما الإدخال الأخير في جانب ملفات السجل التي تم عرضها مؤخراً؟ 
0. ما المستويات المختلفة لأهمية السجل والتي يتم الإبلاغ عنها عادة بواسطة dal]‏ ويندوز؟ 
. ما فائدة معلومات أهمية الحدث في سجل ويندوز؟ 
.V‏ ما المواقع الشائعة لملفات السجل في الأنظمة المعتمدة على نظام ينكس؟ 
۸. ما خدمة Jaw‏ النظام *(syslog)‏ 
.٩‏ ما محددات سجل النظام S(syslog)‏ 
٠.ما‏ أجزاء محددات Jaw‏ النظام (575108)؟ 
١.ما‏ سجل المصادقة في نظام ينكس؟ وما فائدته؟ 
ls. Y‏ ملف $(wtmp)‏ وما فائدة المعلومات التي يحتويها هذا الملف؟ 
ls. Wf‏ ملف S(utmp)‏ وما فائدة المعلومات التي يحتويها هذا الملف؟ 
ls. VE‏ المعلومات التي يمكن الحصول عليها Bale‏ من سجل خادم الشبكة؟ 
la. YO‏ فوائد دمج السجلات؟ 
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7.ما الاستجابة المباشرة للحوادث الأمنية؟ وما أهميتها؟ 

.ما هي بعض المبادئ الأساسية للاستجابة المباشرة للحوادث الأمنية؟ 
.اذا تعد الأوقات الزمنية مهمة في تحليل الحوادث الأمنية؟ 

$(MAC times) الأوقات الزمنية المرتبطة بالملفات‎ Gs. Va 

٠.ما‏ الجدول الزمني للحادث الأمني؟ وما فائدته؟ 


Ls. Y Y‏ قضايا تحليل الحوادث التي تثيرها خدمات التخزين في السحابة الإلكترونية مثل 
*(Dropbox)‏ 


الأسئلة التالية تتعلق بتحليلك لجهاز حاسب الآلي مخترق تابع لأحد أعضاء هيئة 
التدريس. وقد عرفت أن هذا الجهاز تم اختراقه منذ ثلاثة أيام. 
.ما الأداة التي يمكنك استخدامها لعرض سجل أحداث الجهاز؟ 
Ls. YY‏ الجانب الذي يحتوي على تاريخ إنشاء ملفات السجل؟ 
".ما الافتراضات التي يمكنك أن تطرحها إذا كان وقت انشاء كل من سجل التطبيقات» 
وسجل النظام» والسجل الأمني في الساعة الرابعة صباحا؟ 
الحاسب الوصول فيه إلى الجهاز؟ 
أسئلة على نموذج الحالة: 
Je‏ كم الفترة الزمنية الفاصلة بين بداية ا مسح وسرقة الملفات التي تحتوي على 
معلومات البطاقات الاثتمانية؟ 
Y‏ بافتراض أن هذه الهجمة b‏ يلاحظها أحد ما الأضرار المحتملة التي هكن أن تحدث 
في الجامعة؟ 


۳. ما الطرق التي يمكن أن تساعد في الإسراع في الكشف عن الحادث؟ 
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نشاط التدريب العملي - تحليل سجل الخادم: 
في هذا التدريب سنقوم بتحليل سجل الخادم من أحد خوادم الشبكة الإنتاجية. 


وسنبدأ هذا التدريب بإلقاء نظرة على نسق السجل التالي: 


[alice?sunshine ~]$ cd /opt/book/chptr 12 


[alice?sunshine -]$ head -1 apache 


server.log 





$439( هذا ال ملف هو نسق (Apache)‏ للسجل ا مركب ويتكون من الأعمدة التالية: 

غنواق cae DOM asso‏ 7د ا 

هوية العميل وفقاً لحقل (inetd)‏ - وف الغالب يتم تعيين هذه القيمة «-» لهذا الحقل. 

اسم ال مستخدم للشخص الذي يطلب البيانات إذا تم استخدام مصادقة بروتوكول 
(HTTP)‏ أما إذا م يتم استخدام المصادقة, فإن قيمة هذا الحقل ستكون «-». 

وقت معالجة الطلب (مثلاء ([0500-Jan/2013:10:14:02/16]‏ 

طلب بروتوكول (HTTP)‏ ا مرسل من العميل («GET/images/gtalk.png HTTP/1.1» a)‏ 

رمز الحالة لبروتوكول (HTTP)‏ (مثلا (Y+‏ 

حجم البيانات المرسلة بالبايت (V0 Se)‏ 

(http://www.sunshine.edu) وهو الصفحة التي توجه العميل لطلب هذا المورد‎ «nz Ll» 

«وكيل المستخدم» والذي يعطيك معلومات عن متصفح الشبكة ونظام التشغيل ا مستخدم 
من قبل العميل )»6.0 .(«(Mozilla/4.0 (compatible; MSIE 7.0; Windows NT‏ 


من بين هذه الحقول يجب أن نهتم ببعض منها فقط. وسوف نناقش أهمية تلك 
البيانات كما سنوضح كيفية استخراجها باستخدام الأمر (cut)‏ والذي تعلمناه في الفصل 
العاث 

دين 
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عنوان بروتوكول الإنترنت (IP)‏ للعميل: 

إذا كان هناك حادث محتمل» يجب عليك أن تعرف من أين أق العميل. ملاحظة: 
هذه المعلومات مستخرجة من أحد خوادم الشبكة الإنتاجيةء وتم تعديل عناوين بروتوكول 
الإنترنت لحماية خصوصية المستخدم. 


[alice?sunshine -]$ head -4 apache server. 


log | cut -d«» -f1 


YX.224.59.134 
YX.224.59.134 
YYP.63.193.132 


YAY.247.53.103 





أهمية الوقت الزمني تعادل أهمية عنوان بروتوكول الإنترنت لأنك تحتاج إلى معرفة 
وقت تقديم الطلب إلى خادم الشبكة. 


[alice@sunshine ~]$ head -4 apache_server. 
log | cut -d« » -f4,5 


[16/Jan/2013:10:13:55 -0500] 


[16/Jan/2013:10:13:55 -0500] 


[16/Jan/2013:10:13:56 -0500] 


[16/Jan/2013:10:13:58 -0500] 
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طلب بروتوكول :(HTTP)‏ 
.١‏ طلب بروتوكول (HTTP)‏ مقسم إلى ثلاثة أجزاء: 
.Y‏ الطريقة: يستخدم الأمر (GET)‏ لطلب البيانات» ويستخدم الأمر (POST)‏ لإرسال البيانات. 
.Y‏ الموارد التي يتم طلبها (صفحة HTML‏ صورة» نص PHP‏ وغيرها). 
€. إصدار بروتوكول (HTTP)‏ اممستخدم» وعادة يكون الإصدار (HTTP/1.1)‏ 


[alice?sunshine -]$ head -4 apache server. 


log | cut -d« » -f6,7,8 


«GET /favicon.ico HTTP/1.1» 
«GET /favicon.ico HTTP/1.1» 
«GET / HTTP/1.1» 
«GET / HTTP/1.1» 





رمز الحالة لبروتوكول (HTTP)‏ 
وهو الرمز الذي يرسله الخادم إلى العميل. «هذه المعلومات قيمة جداً لأنها تكشف ما 
إذا أدى الطلب إلى استجابة ناجحة (الرموز تبدأ بالرقم (Y‏ أو إلى إعادة توجيه (الرموز تبداً 
بالرقم (Y‏ أو إلى خطأ بسبب العميل (الرموز تبدأ بالرقم €( أو إلى خطأ في الخادم (الرموز 
تبدأ بالرقم 0)»”". 
[aliceg sunshine ~]$ head -4 apache, server.‏ 


log | cut -d« » -f9 
404 


404 


200 
200 





(2) http://httpd.apache.org/docs/1.3/logs.html 
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وكيل المستخدم: 

سلسلة رموز وكيل اللمستخدم توفر معلومات dola‏ عن العميل مثل نوع المتصفح 
واصداره وكذلك إصدار نظام التشغيل. ملاحظة: تم توليد سلسلة الرموز التالية من 
متصفح العميل ويمكن تعديلها. لذا لا تفترض أن هذه البيانات صحيحة .)<٠٠١(‏ وعادة 
ما تستخدم سلسلة الرموز هذه في تحليل الاستخدام العام مثل تحديد نسبة المستخدمين 
الذين يصلون إلى صفحة الشبكة من خلال الأجهزة ال محمولة. 


[alice?sunshine -]$ head -4 apache server. 


log | cut -d'« -f6 


Mozilla/5.0 (Windows NT 6.1; WOW64; 
rv:21.0) Gecko/20130115 

Firefox/21.0 

Mozilla/5.0 (Windows NT 6.1; WOW64; 
rv:21.0) Gecko/20130115 

Firefox/21.0 

Mozilla/4.0 (compatible; MSIE 7.0; Windows 
NT 6.0) 

Mozilla/5.0 (Macintosh; U; Intel Mac OS X 
10 6 8; en-us) 

AppleWebKit/533.21.1 (KHTML, like Gecko) 


Version/5.0.5 Safari/533.21.1 





لاحظ أننا استخدمنا علامة الاقتباس ( « C‏ بدلاً من المسافة () كمحدد للأمر (cut)‏ 
حيث يحتوي وكيل المستخدم على عدد من المتغيرات مفصولة بمسافات. لكنها jas Ula‏ 
وتنتهي بعلامة اقتباس مما يجعل علامة الاقتباس محددا أكثر موثوقية. 
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e 


اسئلة: 
للإجابة عن الأسئلة التالية» استخدم المعرفة التي اكتسبتها في استخراج بيانات الملفات 


باستخدام الأوامر (grep)‏ والأمر (sort)‏ وغيرها من الأوامر التي تعلمتها في التدريبات 
العملية في هذا الكتاب: 


.) 


Y 


كم عدد عناوين بروتوكول الإنترنت (IP)‏ التي أرسلت طلبات؟ 

ما عنوان بروتوكول الإنترنت (IP)‏ الذي أرسل أكثر الطلبات؟ هل كانت تلك الطلبات 
ناجحة؟ وكيف عرفت ذلك؟ 

ما وكيل المستخدم الأكثر شيوعا؟ 


كم عدد وكلاء المستخدم الموجودة في كلمة (iPad)‏ أو كلمة (iPhone)‏ في مقابل 
كلمة *(Android)‏ 

لقد تم إعلامك للتو أن هناك نشاطاً مشبوهاً على جهاز ما في الشبكة 
.(YAY.247.114164)‏ أنشئ قائمة بجميع الموارد (إن وجدت) والتي تم طلبها 
باستخدام هذا النظام. 


تم اختراق خادم ويب آخر في الحرم الجامعي من خلال ثغرة أمنية في أدوات 
ا مسؤول المعروفة ب (wp-admin)‏ والتابعة لمدونة تطبيق (Wordpress)‏ وم 
تتمكن من معرفة عنوان بروتوكول الإنترنت (IP)‏ الذي استخدمه اممهاجم» لكنك 
تتوقع قيام المهاجم مسح خوادم ويب أخرى للعثور على ثغرات في (Wordpress)‏ 
ابحث في سجل خادم الشبكة لمعرفة إذا ما تم أي مسح للخادم» وحدد عنوان 
بروتوكول الإنترنت (IP)‏ الذي ينشأ منه ذلك اممسح. 


تمرين التفكير النقدي - الهدم في إدارة التنمية الاقتصادية: 
نسبة كبيرة من تحليل الحادث في إدارة التنمية الاقتصادية (EDA)‏ تمت بواسطة متعهد 
خارجي. وفيما يلي جزء من تقرير مكتب المفتش العام (OIG)‏ حول هذا التحليل: 
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بعد أسبوعين من بداية أنشطة الاستجابة للحادث الأمني اكتشف المتعهد الأمني في 
إدارة التنمية الاقتصادية أن المؤشرات الأولية لوجود برامج ضارة دائمة Ll‏ هي مؤشرات 
إيجابية خاطئة - أي لا يوجد انتشار حقيقي للبرمجيات الضارة. لكن مدير المعلومات في 
إدارة التنمية الاقتصادية سعى لضمان التأكد من خلو الأجهزة من البرمجيات الضارةء كما 
سعى للتأكد من عدم استمرارية وجود تلك البرمجيات. لكن المتعهد الخارجي للاستجابة 
للحادث الأمني مم يتمكن من تقديم الضمان الذي يسعى إليه مدير المعلومات» لأن تقديم 
ذلك الضمان ينطوي على إثبات أن الإصابة بالبرمجيات الضارة لا يمكن أن تحدث بدلا من 
إثبات أنها لم تكن موجودة. وبحلول السادس عشر من إبريل من عام dies ۲١٠١‏ الرغم 
من مرور أشهر من البحثء ل يتمكن المتعهد الأمني في إدارة التنمية الاقتصادية من العثور 
على أي برمجيات ضارة دائمة أو على مؤشرات هجمات تستهدف أنظمة إدارة التنمية 
الاقتصادية. وعلاوة على ذلك فإن وكالة الأمن القومي الأمريكية (NSA)‏ وكذلك مركز 
استجابة طوارئ الحاسب SI‏ الأمريي b (US-CERT)‏ يعثرا على أي أنشطة دولية أو أي 
برمجيات ضارة دائمة. 

e‏ هل تتفق مع معيار الأمان الذي يسعى له مدير المعلومات في إدارة التنمية 

الاقتصادية - ضمان عدم وجود البرمجيات الخبيثة في أنظمة المنظمة؟ 


٠‏ اعتماداً على هذا التقريرء ما رد فعل المتعهد الأمني على هذه النتائج؟ 


تصميم حالة: 

فيما يلي ملخص لتحليل حادث أمني قمت بالتحقيق فيه والذي وقع في وحدة تقنية 
المعلومات المركزية. 

تم اختراق خادم (APPSERVERY)‏ في مساء التاسع والعشرين من فبراير من عام 
Y W'‏ . وتمكن قراصنة الحاسب من الوصول للجهاز لمدة ساعة. وخلال هذا الوقت حاول 
قراصنة الحاسب الوصول إلى أجهزة أخرى في شبكة جامعة ولاية الشمس المشرقة باستخدام 
مجموعة من ستة بيانات اعتماد مختلفة. 


وتم استخدام أساليب التحقيق التالية لتحديد مدى الاختراق: 
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(Sleuthkit) وأداة‎ (Autopsy) في ذلك أداة‎ Le استخدام واسع لأدلة التحليل الجنائي‎ ٠ 
لتحديد الجدول الزمني للأحداث» وتحديد موقع ملفات السجل واستخراجهاء‎ 
(key loggers) وتحديد الأبواب الخفية» ومسجل اطفاتيح‎ 

٠‏ تمت استعادة سجل أحداث ويندوز كما تم فحصه بالتفصيل. 

٠‏ تم كذلك فحص اتصالات الشبكة الواردة إلى خادم (APPSERVERI)‏ والصادرة منه. 

٠‏ تم الاهتمام بحركة المرور الواردة لخادم قاعدة البيانات (DBI)‏ والصادرة منه لأن 
هذا الخادم يحتوي على بيانات شخصية مقيدة في الجامعة. 


استخدم قراصنة الحاسب كلمة سر معروفة للوصول إلى تطبيق (Remote Desktop)‏ 
في واجهة خادم (APPSERVERI)‏ وكشفت المزيد من التحقيقات عن قائمة من بيانات 
الاعتماد المخترقة سابقاً. واتضح أن بيانات الاعتماد التي استخدمها قراصنة الحاسب للوصول 
إلى خادم (APPSERVERI)‏ هي الوحيدة التي كانت سارية المفعول في ذلك الوقت حيث 
تنتهي صلاحية كلمات المرور في الجامعة خلال 1١‏ يوما. 


الجدول الزمني: 


Y-Ww/va/v‏ مؤشرات أولية للاختراق» تم استخراجها من سجل تدفق الشبكة. اتصال 

الأحد من خارج الحرم الجامعي من (WW, V0, WA, YE)‏ باستخدام تطبيق 

الساعة V:Y Y‏ مساءً (Remote Desktop)‏ وا مسجل à‏ شركة (XO Communications)‏ 
وال مملوكة لشركة (Peaks and Plains Medical)‏ في مدينة سبوكين 
بولاية واشنطن. 


y-Ww/va/v‏ تم إعادة تشغيل الجهاز في محاولة لبدء عملية تنصت من خلال باب 

الأحد خفي على منفذ (VYE)‏ ويتم ذلك من خلال خوادم بروتوكول Jä‏ 

الساعة ۷:۴۷ مساءً الملفات, أو قنوات تحكم آلية تسمح للمستخدم البعيد بالسيطرة على 
الأجهزة المحلية دون الحاجة لاستخدام تطبيق (Remote Desktop)‏ 
وتم استدعاء المسؤول في جامعة ولاية الشمس المشرقة بسبب إعادة 
التشغيل غير ا مجدولة. 
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تحليل الحوادث الأمنية 


لفان حاول قراصنة الحاسب الاتصال بأجهزة أخرى في الجامعة, 


الايد 7 لكن محاولاتهم باءت بالفشل. 
الساعة ۷:۳۹ مساء 


Y-Ww/va/v‏ قام قراصنة الحاسب بتسجيل خروج من النظام. وم يتم اكتشاف أي 


x»‏ محاولات أخرى لتسجيل الدخول. 
الساعة ۸:٤۲‏ مساءً 





e 


اسئلة: 
.١‏ متى تم اكتشاف الحادث الأمني؟ وكيف تم ذلك؟ 
.Y‏ ما المعلومات الهامة الناقصة؟ 


.Y‏ اعتماداً على ما تعرفه» ما الأمور التي ستنظر اليها للوصول إلى فهم أفضل للنتائج 
النهائية للحادث الأمني؟ اذكر التفاصيل قدر المستطاع. 


.٤‏ ما مقترحاتك لتطوير الوضع الحالي؟ 


أمن المعلومات وإدارة مخاطر تقنية المعلومات TU‏ 


qve 


الفصل الثالث عشر 
السياسات والمعايير والمبادئ التوجيهية 


نظرة عامة: 

في الفصول السابقة ألقينا نظرة واسعة على التحديات والمخاطر التي تواجه المنظمات 
التي تعتمد أعمالها على شبكات البيانات. وجميع المنظمات» سواء كانت منظمة حكومية 
أو منظمة oU‏ تواجه تحديات أمنية متشابهة تتمثل في معرفة أفضل السبل لحماية 
الأصول دون إضعاف الإنتاجية ودون التأثير على ال محصلة النهائية للمنظمة. كما ناقشنا 
في الفصول السابقة التدابير الوقائية المختلفة لحماية الأصول والتي يقوم بتأديتها مسؤولو 
النظام المدربون. كما ناقشنا فيما سبق الإجراءات الموصى بها للتفاعل مع الأحداث السلبية 
ومن ثم السيطرة على الأضرار والتقليل من تأثيرها في ا منظمة. 

في هذا الفصل سنبتعد قليلاً عن العام التقني وسنناقش الآليات الإدارية المتاحة للمحلل 
الأمني ومسؤول النظام. فاط محلل الأمني يمكنه توجيه سلوك مستخدمي تقنية ال معلومات 
في المنظمة بطريقة تقلل من المخاطر الأمنية ها تتيحه له مثل هذه الآليات. وبدون هذه 
الآليات فإن مسؤول النظام سيقضي وقتاً طويلاً جداً لإصلاح المشكلات الأمنية التي يفترض 
ألا تحدث في المقام الأول مما يسبب تكاليف كبيرة على المنظمة. 


في نهاية هذا الفصل يجب أن تكون قادراً على: 
٠‏ فهم الفرق بين المتطلبات الأمنية ومتطلبات الامتثال. 
dad‏ امات واا وات 


فهم دورة حياة السياسات. 


٠‏ تحديد مجموعة من السياسات التي تعد ضرورية لأي منظمة. 


أمن المعلومات وإدارة مخاطر تقنية المعلومات Wi‏ 


الفصل الثالث عشر 


الأسس التوجيهية: 

الآليات الإدارية المستخدمة في الصناعة لتوجيه سلوك المستخدم هي السياسات» 
وا معاييرء واطبادئ التوجيهية. وتسمح هذه الآليات للمسؤول عن أمن ا معلومات بالحصول 
على مصادقة المسؤولين في المستوى التنفيذي لأهداف أمن المعلومات داخل المنظمة 
وترجمة هذه الأهداف إلى بنود قابلة للتنفيذ ومحددة لجميع أعضاء ال منظمة. وعندما 
تشير خبرات تلك الآليات في التعامل مع الحوادث الأمنية إلى مسؤول الأمن أن المنظمة 
تحتاج إلى تغيير الطريقة التي تتعامل بها مع أمن امعلومات» فإنها تلفت انتباه الإدارة 
العليا للقيام مراجعة شاملة بناء على التغييرات المقترحة. وبينما تهتم الإدارة العليا بأمن 
المعلومات. فإنها تدرك كذلك أن إضافة المزيد من الأمن يعيق عادة العملء كما هكن أن 
يضيف ذلك تكاليف تدريب كبيرة للتعامل مع هذا التغيير. لكن إذا كان هناك ما يبرر 
التغيير فإن الإدارة العليا ستسمح بذلك التغيير. ويتم نشر ممارسات أمن المعلومات الناتجة 
على شكل سياسات» أما ا معايير والمبادئ التوجيهية فإنها تنبثق من تلك السياسات. ويجب 
أن تكون السياسات. والمعايير. والمبادئ التوجيهية موجهةء كما يجب أن يكون لها أهداف 
واضحة. ولتحقيق ذلك فإنه من الضروري فهم المبادئ الأساسية لأمن المعلومات واطهمة 
لدى tall‏ واستخدام تلك المبادئ كدعم حقيقي للسياسات. وسئناقش law‏ من تلك 
امبادئ في الفقرات القليلة القادمة. 

أولاً وقبل كل شيء, على ا منظمة استيعاب حقيقة أن أمن ا معلومات يؤثر في المنظمة 
وموظفيها وعملائها ويكون ذلك التأثير على أساس يومي. أمن المعلومات ليس شيئاً تفعله 
اليوم وتتركه غداً وترجع له مرة أخرى الأسبوع القادم» فالمبادئ السليمة لأمن المعلومات 
يجب أن تكون Y lese‏ يتجزأ من جميع أنشطة المنظمة. 

وبعد ذلك ينبغي إدراك مفهوم «طبقات الأمن». وبالنسبة للمشكلات الأمنيةء لا يوجد 
حل يتصف بأنه «مقاس واحد مناسب للجميع». وبصفتك محللا أمنيا أو مسؤولا للنظام 
ستجد العديد من الشركات التي تحاول إقناعك ob‏ منتجاتها Y‏ غنى lie‏ على الإطلاق 
وأن تلك ا منتجات تحل جميع المشكلات الأمنية. وهذا ليس صحيحاً إطلاقاً. إذا كان ذلك 
صحيحاً فإننا لن نرى في وسائل الإعلام حالات متكررة لانتشار الفيروسات» وتسرب البيانات 


1Y‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


السياسات واطعايير واممبادئ التوجيهية 


وهجمات الشبكات. والحل الأمثل للرد على القراصنة والبرمجيات الخبيثة والمحتالين هو 
تطبيق أنظمة أمنية متعددة من أجل حماية أصول المنظمة. ولحماية البيانات في خادم 
ا ملفات بإمكانك تطبيق نظام تسجيل دخول بكلمات مرور معقدةء وباستخدام القياسات 
الحيويةء وجدار ناريء وحماية نقطة النهايةء والتشفير, على أمل أن واحداً من هذه الأنظمة 
سيكتشف أي نشاط يهدد المنظمة. 

كما أن فهم مواقف المنظمة الأخرى يساعد في كتابة السياسات. فهل تفضل المنظمة 
البرمجيات مفتوحة المصدر el‏ البرمجيات التجارية؟ الخيارات المختلفة قد تؤدي إلى اختلاف 
في متطلبات السياسات. وهل تعتمد ال منظمة على معايير صناعة واحدة في جميع الحالات» 
أم أن المنظمة انتقائية في ا معايير التي تعتمد عليها؟ وهل توظف المنظمة مستشارين على 
أساس مؤقت» el‏ أنها تسعى للحفاظ على ال معرفة داخل المنظمة؟ 


السياسات: 


وفقاً لنموذج (أهداف التحكم للمعلومات والتكنولوجيا ذات الصلة) (COBIT)‏ 
«السياسات هي وثيقة تُسجل مبادئ رفيعة المستوى أو مسار العمل الذي تم إقراره». 
والتركيز هنا على «رفيعة المستوى» لأن السياسات تعكس مبادئ تم تأييدها من مستويات 
عالية في المنظمة. ويّعد وقت المديرين التنفيذيين في هذا المستويات مُكلف dar‏ لذا 
يبذل هؤلاء المديرون جهدهم في عدم إعادة النظر مرة أخرى في القضية نفسها. وبناء على 
ذلك تكون السياسات مكتوبة بلغة عامة للتعامل مع التطورات الروتينية في مجال الأعمال 
والتقنية. أما الآليات الإدارية الأخرى: امعايير والمبادئ التوجيهية, والإجراءات؛ فإنها تنبع 
من السياسات وتقدم إلى جميع الموظفين توجيهات محددة وقابلة للتنفيذ. ويتم LLS‏ 
امعايير» واطبادئ التوجيهية» والإجراءات بواسطة خبراء مثل مسؤول النظام» ومن ثم يمكن 
أن تتغير وفقا للتغييرات التنظيمية. وبينما تحدد السياسات الاتجاه العام الذي يجب 
على ا منظمة اتباعه» دون الاهتمام بكيفية الوصول إلى ذلك الاتجاهء فإن المعاييرء وا مبادئ 
التوجيهية» والإجراءات تركز على كيفية الوصول للاتجاه الذي ترغب فيه السياسات. 


(1) COBIT 5 Glossary, http://www.isaca.org/Knowledge-Center/Documents/Glossary/glossary.pdf 
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الفصل الثالث عشر 


على سبيل المثالء تنص سياسة الاستخدام الملائم لأرقام الضمان الاجتماعي 
'(SSN Appropriate Use Policy)‏ رقم )516-0( في جامعة جنوب فلوريدا على ما ياي: 

يتم التخلص من الملفات الورقية والإلكترونية التي تحتوي على أرقام الضمان الاجتماعي 
بطريقة آمنة وفقا لسياسات الاحتفاظ والتخلص التابعة للولاية والدولة. 

ولا يوجد تفاصيل حول كيفية التخلص من الملفات الورقية التي تحتوي على أرقام 
الضمان الاجتماعي. الشرط الوحيد هو أن يتم ذلك «بطريقة آمنة» وفقا للقانون. وتركز 
السياسة على التخلص من تلك السجلات» وليس على كيفية تنفيذ ذلك» لأن ذلك يعتمد 
على التكنولوجيا المتاحة. والتكلفة. وغيرهاء كما سيتم توضيحه من خلال امعاييرء واطبادئ 
التوجيهيةء والإجراءات. 
المعايير: 


المعيار هو مجموعة محددة من القواعد ال مقبولة وال معتمدة من قبل العديد من 
المنظمات. ويشار إلى بعض المعايير lib‏ «معايير الصناعة». وهي الأنشطة والإعدادات 
والقياسات المقبولة من جميع المنظمات في صناعة معينةء ويبغي أن ينظر إليها بأنها مبادئ 
العمليات. 

وعد المعهد الوطني للمعايير والتكنولوجيا National Institute for Standards)‏ 
(and Technology‏ والذي يعرف اختصاراً ب (NIST)‏ أحد مصادر أهم معايير تقنية 
المعلومات» على الأقل بالنسبة للمنظمات داخل الولايات المتحدة الأمريكية. وعلى الرغم 
من أن وثائق المعهد الوطني للمعايير والتكنولوجيا تصنف بأنها «توصيات» أو «مبادئ 
توجيهية». إلا أنها تعد في الواقع معايير لجميع المنظمات ف الولايات المتحدة الأمريكية. 
وقد استعرضنا بعض الأمثلة في هذا الكتاب ومن ذلك «المبادئ التوجيهية لتقييم المخاطر». 

International Organization for) المنظمة الدولية للمعايير‎ ied des 
منظمة أخرى مقبولة في جميع أنحاء‎ (ISO) واممعروفة اختصاراً‎ (Standardization 


(2) SSN Appropriate Use Policy, University of South Florida, http://generalcounsel.usf.edu/policies- 
and-procedures/pdfs/policy-0-516.pdf 
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السياسات واطعايير والطبادئ التوجيهية 


العام ded‏ هاون اسمس وول is] s‏ وها نين O‏ الأكاو Ee‏ ما 
رقم )27002/17799( وهو المعيار التابع لأمن المعلومات. ووفقا مموقع (ISO)‏ على 
الإنترنت» فإن هذا المعيار «يؤسس المبادئ التوجيهية واممبادئ العامة لبدء إدارة أمن 
المعلومات في المنظمة وتطبيقها والحفاظ عليها وتطويرها. أما الأهداف المحددة فهي 
تقدم إرشادات عامة للأهداف المقبولة عموما في إدارة أمن المعلومات». ويتضمن 
معيار )27002:2005 (ISO/IEC‏ أفضل الممارسات المتعلقة بأهداف التحكم وأهداف 
المجالات التالية من إدارة أمن المعلومات: 

٠‏ السياسات الأمنية. 

٠‏ تنظيم أمن المعلومات. 

ه إدارة الأصول. 

٠‏ أمن اموارد البشرية. 

٠‏ الأمن المادي والأمن البيئي. 

٠‏ إدارة العمليات والتواصل. 

٠‏ التحكم في الوصول. 

e‏ اقتناء نظم المعلومات وتطويرها وصيانتها. 

٠‏ إدارة حوادث أمن المعلومات. 

. إدارة استمرارية العمل. 

٠‏ إدارة الامتثال. 

وبمجرد قبول المعايير في ا منظمة فإنها تكون الزامية. على سبيل «JULI‏ من أجل أن تعلن 


المنظمة بأنها متوافقة مع معيار )27002 (ISO‏ يتعين عليها الالتزام بجميع اللوائح المرتبطة 
بهذا امعيار حيث لا يوجد شيء يسمى ب «الامتثال الجزئي». 
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الفصل الثالث عشر 


في عام Y+ +A‏ وضعت شركة lial (Symantec)‏ مصمماً بطريقة جيدة يعرض معايير 
متطلبات الامتثال المختلفة, وذلك بطريقة واضحة بحيث يمكن للقارئ أن يحدد بسرعة 
أوجه التشابه بين كل فئة من المتطلبات الأمنية. ويمكن الاطلاع على نسخة من الملصق 


على هذا الرابط: 


http://net.educause.edu/ir/library/pdf/CSD5876.pdf 





كما أن للمعايير علاقة مباشرة بالسياسات. على سبيل المثال» asus‏ للسياسات أن 
تصرح بأنه يجب تثبيت حلول حماية نقطة النهاية (EPP)‏ ا مطروحة من قبل إدارة تقنية 
المعلومات والمتاحة على الموقع الإلكتروني التابع لها وذلك في جميع أجهزة الحاسب dI‏ 
في المنظمة. وبعد ذلك يقوم المعيار بتحديد حلول حماية نقطة النهاية التي يجب تثبيتها. 
والميزة في هذه الحالة واضحة. وكما سنرى أن السياسات عادة تكون أصعب في التعديل من 
المعيار. فمن خلال السماح لإدارة تقنية المعلومات بالاحتفاظ بمعيار حماية نقطة النهاية 
(EPP)‏ فإن السياسات تسمح لإدارة تقنية المعلومات باتخاذ القرارات ذات العلاقة بحماية 
نقطة النهاية (EPP)‏ دون الحاجة لتحمل عبء ال مرور بالدورة الكاملة لحياة السياسات 
والموافقة عليها. 

وأخيراً فإن المعايير تجعل السياسات أكثر وضوحا. وبالنظر إلى المثال الذي ذكرناه في 
الفقرة السابقة. فإن حماية نقطة النهاية (EPP)‏ تكون غامضة بدون معيار. حماية نقطة 
النهاية هي عبارة عن مجموعة من التطبيقات التي تحمي الجهازء وتحتوي عادة على حلول 
ممكافحة الفيروسات» كما تحتوي على الحلول الاختيارية التالية: 

٠‏ اكتشاف التسلل المعتمد على المضيف. 

٠‏ الجدر النارية. 

٠‏ جدولة مسح الفيروسات أو مسح المنافذ في الوقت الفعلي. 

. تقييم الثغرات. 

٠‏ سمعة ال موقع الإلكتروني. 
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السياسات واطعايير والطبادئ التوجيهية 


بدون المعايير يكون لدى المنظمة مزيج من الحلول. فامعايير تحدد أي من هذه 
الخيارات مهمة للمنظمة ومن ثم تجبر جميع الوحدات على تنفيذ تلك الحلول. 


المبادئ التوجيهية: 

المبادئ التوجيهية هي الإجراءات التي توجه إلى الوحدات لتطوير العمل عندما تكون 
الور و n‏ کی e o be‏ كرفا efe‏ اال 
لنفترض أن هناك تطبيقاً جديداً لمكافحة الفيروسات يعمل على نظام (IOS)‏ وهذا التطبيق 
يعمل بشكل رائع. وبناء على ذلك قد «تقترح» إدارة تقنية المعلومات أن على كل شخص 
تثبيت وتشغيل هذا التطبيق» لكن بدون وجود سياسات تفيد ob‏ لدى إدارة تقنية 
المعلومات القدرة على القيام Ui‏ فإن هذا الاقتراح يكون خيارياً ولا يكون إلزاميا. 

وقد تتطور بعض toS ll‏ التوجيهية لتصبح معايير في وقت لاحق. وبدون إدارة مركزية 
لتقنية معلومات في البيئة الجامعية قد يكون من الصعب على المنظمة الأمنية دعم حلول 
موحدة مكافحة فيروسات. وهذا قد ينطوي على إقناع جميع الوحدات على التخلي عن 
حقها في تشغيل برنامج مكافحة الفيروسات الذي يعجبها. وبدلاً من ذلك فإن إدارة أمن 
ا معلومات قد تضطر لوضع مبادئ توجيهية تحدد فيها التعامل مع المورد (أ) والأسباب التي 
أدت إلى ذلك. 

وعندما تكون الأسباب سياسية أكثر من كونها أسباب «hoà‏ فإن استخدام مبدأ «الجزرة 
مقابل العصا» مفيد للغاية في هذا السيناريو. فإذا كانت إدارة امن المعلومات قادرة على 
توفير البرمجيات من خلال ا مورد (أ) مجاناً لجميع الوحدات في الحرم الجامعي فإن الكثير 
من الوحدات ستجد الفكرة جذابة وستقوم باستخدام البرنامج. وهذا هو منهج الجزرة. 

والنقطة الأساسية في هذا القسم أن المبادئ التوجيهية يتم اعتمادها في حدود ضيقة وعلى 
أساس تطوعي. وسيستمر استخدام الوثيقة الناتجة على أساس أنها مبادئ توجيهية حتى 
يكون كاك سلطة dS‏ ممتيخة مق الإذازة seed‏ الوضقة مو عنمن obe]‏ (الشكل Y‏ 
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الشكل :(V- VY)‏ السياسات واطعايير وامبادئ التوجيهية 


المبادئ التوجيهية المعايير السياسات 





تحدد العناصر الإدارة العليا موافقة 
e‏ عليها وتدعمها 


لماذا نحتاج إلى الكثير من العمل المكتبى؟ 

شكوى تقليدية تصدر من الموظفين الفنيين وهي ISU»‏ علينا أن نتحمل كل هذا العناء؟» 
و«ماذا نحتاج إلى الكثير من العمل المكتبي؟» موظفي تقنية المعلومات هم أشخاص عمليينء 
ومن ثم فإن التوثيق ليس نقطة من نقاط قوتهم. لكن الحاجة إلى الحفاظ على السياسات 
تتجاوز الامتثال. إن توثيق هذه العمليات بالشكل الصحيح لا يقوم فقط بإضافة الروتين 
والبيروقراطيةء بل يمكن أن يساعد في تحسين أداء المنظمة. 

على «JUL dure‏ السياسات الأمنية مؤشر للعملاء وا مستخدم النهائي وحتى الموظفين 
ob‏ ا منظمة تتعامل مع الأمن على محمل الجد. مثلاء تتضمن السياسة الأمنية لمدينة تامبا 
às‏ فلوريدا ما يلي: 

الاستخدام الآمن للإنترنت يحظى بأولوية عالية في مدينة تامبا. ونحن ندرك بأن أمن 
المعلومات له أهمية قصوى بالنسبة «SU‏ لذا خصصنا الكثير من الجهد لضمان الحفاظ على 
معلوماتك P az JI‏ 

وتشير هذه السياسة إلى الأهمية التي توليها المنظمة لأمن المعلومات, والتي يجب 
أن تكون مطمئنة للمستخدمين المعنيين. كما تقدم السياسات خارطة طريق للموظفين 
وا مستخدمين الجدد. 
(Y)‏ سياسة الانترنت مدينة http://www.tampagov.net/about us/tampagov/internet policies/ dob‏ 

security policy.asp 
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وأحد السياسات الشائعة التي سنراها في الأجزاء القليلة المقبلة تعرف باسم «سياسة 
الاستخدام امقبول» (acceptable use policy)‏ أو اختصارا (AUP)‏ وتصف هذه السياسة 
للمستخدمين أوامر ونواهي النظام» أو الأشياء المقبول القيام بها والأشياء التي من شأنها أن 
تنهي الخدمات أو تنهي العمل. ونذكر هنا عينة من سياسة الاستخدام المقبول لخدمات 
بروتوكول الإنترنت لشركة (AT&TS)‏ 


olg‏ والمحتوى اللهدد: لا يجوز استخدام خدمات بروتوكول الإنترنت في استضافة أو 
نشر أو إعادة نشر أي محتوى أو مادة (أو إنشاء اسم نطاق أو تشغيلها من اسم نطاق) 
تنتهك أو تهدد صحة أو سلامة الآخرين. وأيضا بالنسبة إلى خدمات بروتوكول الإنترنت التي 
تستخدم استضافة المواقع المقدمة من شركة (AT&TS)‏ تحتفظ شركة (AT&TS)‏ بحقها 
في رفض تقديم مثل هذه الخدمات إذا تم تحديد المحتوى على أنه فاحش» أو غير لائق» أو 
مکروه» أو شريرء أو عنصريء أو افترائي» أو مخادع» أو تشهيريء أو خائن» أو عنيف بشكل 
مفرط أو مروج لاستخدام العنف» أو ضار للآخرين*“ 

والسياسات تلزم | المنظمات على معرفة قيمة المعلومات التي تنتجها في سبيل دعم 
الأول الفغلية: واحيانا قن.يكوق ذلك التحديد وتوفقه مفيذا في حال التقاضي. على سبيل 
JELI‏ تتضمن سياسات معهد ماساتشوستس للتكنولوجيا (MIT)‏ الفقرة التالية من أجل 
الاحتفاظ بسجل بروتوكول التكوين الديناميي للمضيف (DHCP)‏ 

إن خادم بروتوكول التكوين الديناميكي للمضيف Legs (DHCP)‏ لمعالجة العناوين 
ا متغيرة UT‏ حسب الحاجة. ويتم الاحتفاظ بمعلومات السجل في خادم تحت إدارة نظم 
ا معلومات والتقنية «Information Systems & Technology» (IS&T)‏ كما يتم إرفاق 
تاريخ الانشاء بكل سجلء ويقوم النظام يوميا بحذف جميع السجلات التي مضى على 
إنشائها Pho ٠١‏ 


ومعهد ماساتشوستس للتكنولوجيا (MIT)‏ ليس المنظمة الوحيدة التي لديها سياسات 
مكتوبة تتعلق بسجل بروتوكول التكوين الديناميكي للمضيف (DHCP)‏ فالعديد من 


(AT&TS). http://www.corp.att.com/aup/ لشركة‎ Jg ALI سياسة الاستخدام‎ (€) 


)0( سجل استخدام بروتوكول التكوين الديناميكي للمضيف à (DHCP)‏ معهد ماساتشوستس للتكنولوجيا 
(MIT). http://ist.mit.edu/about/policies/dhcp-usage-logs‏ 
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الجامعات تفعل ذلك لسبب محدد وهو: لجعل المنظمات التي تراقب انتهاكات قوانين 
حقوق النشر تدرك أنه يجب عليها أن تخطر المنظمة في غضون Y*‏ يوماً (وذلك في حالة 
معهد ماساتشوستس للتكنولوجيا) من اكتشاف الحادث. 

كما أن السياسات تضمن الاتساق في جميع أنحاء اممنظمةء والاتساق أمر جيد. 
فالمنظمات الأكادهيةء على سبيل الممثالء يعرف عنها بأنها لا مركزية. فقد يكون لكل كلية 
مجموعة حوسبة خاصة في كل وحدة إدارية. ومن حيث الدعم الفنيء هذا النموذج 
يضمن أن الأفراد الذي يعملون على محطة العمل يستجيبون للشخص نفسه على أنه مالك 
محطة العملء وفي العادة يكون عميد الكليةء أما من الناحية الأمنية فإن هذا النموذج 
له القدرة على إنشاء الحلول الحاسمة لمعظم المشكلات. على سبيل اممثال» قد ترى كلية 
الهندسة المعمارية أن تطبيقات مكافحة الفيروسات هدر للأموال ومن ثم تقرر عدم شراء 
أي منها. في حين أن كلية الهندسة قد تقوم بتثبيت تطبيقات مكافحة فيروسات منخفضة 
الجودة ممجرد أنها أرخص من غيرها. في حين أن كلية الآداب قد تدفع LÈ‏ باهظا للحصول 
على الترخيص اللازم لأنها لا تملك العدد الكافي من أجهزة الحاسب الآلي لتكون قادرة على 
التفاوض على صفقة أفضل. إن وجود سياسة تؤثر في حلول مكافحة الفيروسات على 
مستوى الجامعة يؤدي إلى توحيد هذه الوحدات. وإجبارها للعمل معا لتحقيق المعايين 
والحصول على نماذج أسعار أفضلء وتحقيق العديد من المزايا الأخرى المرتبطة بالاستخدام 
المستمر في الحرم الجامعي. 

لاحظ أن ما سبق يختلف عن عبارة «أنظمة تقنية المعلومات المركزية تعمل بشكل 
أفضل». فحتى لو كان الدعم لا مركزياً في المنظمة» فإن بعض الجوانب (مثل الأمن) as‏ 
الخط الأساس. ويمكن تحقيق ذلك عادة من خلال وضع حد gol‏ من القواسم المشتركة. على 
سبيل «JULI‏ قد يؤثر معيار إدارة حساب ويندوز Windows Account Management)‏ 
4 ييف كلمات المرور بحيث لا تكون أقصر من ۸ رموز. وهذا Y‏ نع أي إدارة من 
Aloe das ato zo La ue n]‏ تفل M Best RS‏ زمزا. 


وأخيراً فإن السبب الجوهري لموظفي تقنية المعلومات لمساندة تطوير السياسات الأمنية 
هو دعم الإدارة. وإذا تم تطوير السياسات بالطريقة الصحيحة» OB‏ المدخلات من جميع 
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الوحدات المتضررة ومن جميع أصحاب المصلحة يتم أخذها في الحسبان قبل صدور تلك 
السياسات. وهذا يحسن إلى حد كبير قبول أي قيود تفرضها السياسات. وبشكل مشابه 
للقانون» فإن ادعاء الجهل بالسياسات لا يعفي الأفراد من العواقب» وذلك بمجرد إقرار تلك 
السياسات. على سبيل JUL‏ إذا نصت سياسة المنظمة على أن جهاز الحاسب الآلي الذي 
لا يقوم بتحديث تعريفات مكافحة الفيروسات يومياً يتم سحبه من الشبكة وتم سحب 
جهاز حاسب آلي لأحد المستخدمين من الشبكة لهذا السبب فإنه لا يحق لهذا المستخدم 
التقدم بالشكوى. 
دورة حياة السياسات: 

بشكل مشابه لدورة الاستجابة للحوادث الأمنية فإن السياسات تعمل أيضاً في دورات. وفي 
الواقع قان الوادت الأمفة مكون غالبا الغو ةا لذا فة Lola s 3| jg‏ حديدة أو إعادة 
النظر في السياسات القائمة. ففي أواخر التسعينيات» أدى الانتشار الكبير لفيروس (Melissa)‏ 
وفيروس (ILOVEYOU)‏ إلى وضع السياسات الأمنية المركزية لتنظيم الجامعات اللامركزيء 
كما أدى إلى تسمية «مسؤول أمن ا معلومات» à (Information Security Officers)‏ 
الجامعات. 

ويمكن تقسيم المستفيدين من السياسات إلى مجموعتين متميزتين. فا منظمة تكتب 
السياسات إما للموظفين والعملاء أو أن السياسات تكتب استجابة لقوانين الدولة والولاية. 
ومن الناحية المثالية فإن مسؤول الأمن يستخدم السياسات في التعامل مع كلا ال لمجموعتين. 


في بعض الأحيان قد تكون هناك حاجة محددة إلى الرسمية في كتابة السياسات. ولقد رأينا 
مثل هذه السياسات سابقا والتي تحتاج إلى مترجم بجانبك عند قراءتها حتى تفهم مضمون 
السياسات. وكقاعدة عامة لا تستخدم اللغة القانونية إلا إذا كان يتوجب عليك القيام بذلك. 


فالسياسات تحتاج أن تكون مكتوبة بوضوح وبطريقة يسهل فهم مضمونها من قبل الموظفين 
والعملاء. والسياسات مكتوبة بلغة غير واضحة تستهدف مجموعة الامتثال التنظيمى» ومن 
ثم فإنها تصبح «سياسة من أجل السياسة» ولا أحد يقرؤها لأن أفكارها غامضة. 





ويجب أن تستهدف السياسات قضايا محددة كلما أمكن ذلك. وتحتوي سياسات بعض 
المنظمات على الكثير من الصفحات» وتتوقع تلك المنظمات أن يقرأ المستخدم الوثيقة 


أمن المعلومات وإدارة مخاطر تقنية المعلومات ۸۱ 


الفصل الثالث عشر 


كاملة ويفهمها. ومن خلال تقسيم السياسات إلى قطاعات مستهدفة يمكن تحقيق الامتثال 
التنظيميء ويمكن EUIS‏ للمستخدم العثور على ما يبحث عنه بسهولة. على سبيل «JUL‏ 
oe‏ أن يكون لديك سياسة مخصصة لحماية البيانات» وأخرى تناقش وصول المستخدم» 
وثالثة تتحدث عن النسخ الاحتياطي للبيانات. 

Goo 5,588‏ أن الاعات e‏ غالبا de gius‏ مان قبل kaes dE UI‏ 
يكون الحدث كبيراً لجلب اهتمام الإدارة. من الشائع أن نرى ردود فعل متسرعة في شكل 
من أشكال السياسات. وسوف نناقش «تقييم à (Impact Assessment) « SI‏ الأجزاء 
القادمة» لكن من الجيد أن نتأكد من أن السياسات التي تعيق الإنتاجية والاستخدام م 
توضع كرد فعل متهور لحدث من الأحداث السلبية. فأثر السياسات يحتاج إلى دراسة 
وتحليل قبل اعتمادها من المنظمةء وهذا ينطبق بشكل خاص على السياسات الأمنية. 

والسياسات الأمنية يجب أن تكون قوية لحماية خصوصية الأصول وتكاملها وجاهزيتها. 
ونظراً للحاجة إلى الحمايةء تُبالغ الكثير من ال منظمات في هذا الجانب. ومع ذلك لا يمكن 
إعاقة الإنتاجية وتعطيل رسالة المنظمة من أجل تحقيق هذا الهدف. وهيل الموظفون 
إلى الصراحة والانفتاح مستوى صراحة السياسات. فا موظفون مجموعة ذات موارد كثيرة 
Jobs‏ تأدنة أعمالها وتحقيق dà o Ja uo bla‏ ممكنة, ll‏ رأى اللؤظف أن bii‏ 
أو سلوكاً هو الأفضل لتحقيق هدفه» وأنت لا تسمح له القيام بذلك» فسوف يجد طريقة 
للالتفاف حول ذلك. وعندما تضع المنظمات سياساتهاء عليها التأكد من أن المستخدم قادر 
على الالتزام بها. 

وفيما يلي سنناقش مراحل دورة حياة السياسات التالية: 

٠‏ كتابة السياسات. 


. تقييم الأثر والإصدار. 
٠‏ اطراجعة. 


MY‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


السياسات واطعايير والطبادئ التوجيهية 


كتابة السياسات: 

الآن حان الوقت لوضع القلم على الورقة وبدء الكتابة الفعلية. وقد يكون لدى المنظمة 
diuo‏ محددة لكتابة السياسات. وفي حال غياب تلك الصيغة: Laàs‏ القيام ببحث على 
الإنترنت عن السياسات المماثلة لمنظمات في الصناعة نفسهاء فإذا كنت تعمل في أحد المدارس 
عليك البحث في المدارس الأخرى والمناطق التعليمية. ومن المفيد أن تبحث في الولاية التي 
أنت فيها أولا لأن في الولاية قضايا امتثال تنظيمية قد تضطر معالجتها في الموضوع الذي 
تواجهه. وبعد ذلك انظر في السياسات الأخرى الوطنية والدولية» وهذا يضمن لك تغطية 
أكبر عدد ممكن من الموضوعات الفرعية. 

ونستعرض هنا قالب عام يتضمز الأقسام التي تحتوي عليها معظم السياسات. وعلى 
الرغم من أن الأسماء قد تختلف قليلاء على سبيل JELI‏ البعض يطلق على «المقدمة» «لمحة 
«dole‏ لكن المحتوى يظل كما هو. ومن أجل الحفاظ على تماثل الموضوع في هذا الجزء OB‏ 
جميع الأمثلة التي نستعرضها في هذا الجزء ستكون من التعليم العالي. 
لمحة عامة: 

وهذا هو الجزء الأول من السياسات. وتخبر اللمحة العامة المستخدم بأسباب تبني 
ا منظمة Jib‏ هذه السياسة. وفيما يلي نستعرض مثالا من السياسة الأمنية العامة Security)‏ 
"(Policy‏ لجامعة jl‏ يزونا :(University of Arizona)‏ 

موارد الجامعةء والمعلومات والتقنية أصبحت ذات أهمية متزايدة لأعضاء هيئة التدريس 
والموظفين والطلاب وذلك للأهداف الأكادهية والإدارية. وف الوقت «l3‏ زادت التهديدات 
الداخلية والخارجية التي تؤثر في خصوصية تلك الموارد وتكاملها وجاهزيتها. الخروقات 
الأمنية أصبحت منتشرة: وتستمر الجامعات لتكون هدفا مرغوبا فيه لتلك الهجمات. موارد 
الجامعة dopol‏ مثل البحوث ورعاية المرضى والمعاملات التجارية والبيانات الشخصية 
الخاصة للموظف والطالب» يجب أن تكون محمية من الهجمات ومحمية من الاستخدام 
أو الاطلاع غير الملائم. فالأجهزة يجب أن تكون معدة ومصانة ومحدثة بشكل دوريء وذلك 
طنع التسلل والأنشطة الضارة الأخرى. 
)1( السياسة الأمنية لجامعة أريزوناء http://security.arizona.edu/is100‏ 
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الفصل الثالث عشر 


في الفقرة الأولى أعلاه وضحت الجامعة أنها تهتم ببياناتهاء كما أعطت الفقرة الأولى لمحة 
عن ا موضوعات التي سيتم تغطيتها في هذه السياسة» أما في الفقرة الثانية فقد وضحت 
الجامعة الهدف من وراء كتابة هذه السياسة. 

الهدف من هذه السياسة هو التأكد من أن جميع الأفراد الموجودين في نطاقها يفهمون 
مسؤولياتهم اتجاه الحد من مخاطر الاختراق ويأخذون التدابير الأمنية المناسبة لحماية 
موارد الجامعة. إن الوصول إلى موارد الجامعة امتياز وليس di>‏ مما يعني أن هناك 
مسؤوليات على المستخدم. وهذا الوصول يخضع لأعضاء مجلس جامعة أريزونا وسياسات 
الجامعة ومعاييرها ومبادثها التوجيهيةء كما يخضع للقوانين الاتحادية والفيدرالية. 

وذكرت هذه الفقرة بعض المبادئ التوجيهية التي ناقشناها سابقاً. فالأمن ليس وظيفة 
إدارة تقنية المعلومات وحدهاء بل إن أمن البيانات مسؤولية كل فرد في الجامعة. كما 
وضحت هذه الفقرة الزامية التنفيذ» حيث أشارت إلى أن الوصولء Le‏ في ذلك وصول 
الطلاب» ليس حقاً بسبب دفع الرسوم الدراسية بل هو امتيازء وإذا أساء المستخدم إلى هذا 
الامتياز فإن هناك عواقب لذلك. 


النطاق: 

قسم النطاق يخبر المستخدم بالأشخاص والأمور التي تغطيها السياسات. فالسياسات 
Ulo‏ رفظ ينطاق معن وهنا ند كر على سيل JE‏ السيايسة dia]‏ الحظات الحم“ 
j (Workstation Security Policy)‏ كلية إيموري :(Emory College)‏ 

السياسة الأمنية للأجهزة قابلة للتطبيق على كافة محطات العمل (ويندوزء ماك أو 
إس أكس.ء لينكس) Le)‏ في ذلك الأجهزة المكتبية والمحمولة والأجهزة الافتراضية) والتي تقع 
ضمن النطاق الإداري للكلية. 

وهذا النطاق واضح dL às «els‏ واحدة يستطع المستخدم قراءته وتحديد ما إذا 
كان جهازه مشمولا بهذه السياسة أم لا. لكن يجب على المنظمات ألا تلجأ إلى التحديد 
(V)‏ السياسة الأمنية لمحطات العمل في كلية إموري https://wiki.as.emory.edu/display/ecitprocedures/‏ 

Workstation-Security--Policy 
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السياسات واطعايير واممبادئ التوجيهية 


الدقيق للمستهدف من السياسات مالم يكن هناك حاجة لذلك. وعند ذكر ويندوزء وماك 
أو إس أكسء ولينكسء مازال الباب مفتوحاً أمام بعض الثغرات. لكن إذا أضفنا عبارة «.. 
وأنظمة التشغيل الأخرى» في نهاية القائمة عندها سنغلق تلك الثغرات. وفي الوضع الحالي 
للسياسة فإنها Y‏ تشمل محطة العمل اممكتبية القدمة بنظام سولاريس (Solaris)‏ والتي 
يعمل عليها أحد أعضاء هيئة التدريس. 

s‏ مثال آخر على نطاق السياسات» نستعرض فيما يلي النطاق المرتبط بسياسة إدارة 
الحوادث "(Incident Management Policy)‏ في جامعة ولاية كنساس Kansas State)‏ 
:(University‏ 

تطبق هذه الإجراءات على جميع موظفي الجامعةء والوحداتء والمنتسبين والمسؤولين 
عن الاستجابة للحوادث الأمنية التي تشمل موارد تقنية المعلومات أو بيانات الجامعة. 

وتعد سياسة جامعة ولاية كنساس مثال ممتاز لسياسة إدارة الحوادث Incident)‏ 
Le (Management Policy‏ في ذلك تصنيف البيانات وخطوط المسؤولية الواضحة عدا 
والأمن ليس مسؤولية مجموعة أمن تقنية المعلومات» ولكن بدلا من ذلك يتم تقاسم 
المسؤولية مع كل مستخدم» ومن ثم فإن هذا النطاق يشمل أساسا جميع الموظفين 
والمنتسبين للجامعة في كل مرة تكون بيانات الجامعة معنية بالأمر. 


التعريفات: 

قد نرى قسماً منفصلاً للتعريفات في الأقسام التي تسبق السياسات والتي «qui‏ الوضع 
للسياسة الفعلية. وهذا القسم مفيد خاصة عندما يكون موضوع السياسة غير واضح 
للمستفيدين» أو إذا كان النطاق في المنظمة يحتاج إلى مزيد من التوضيح. 

«dass d 33S ازات اة‎ chc y قي عرض‎ els dose VL tss 
من جامعة‎ (ePHI) أو اختصارا‎ (Electronic Protected Health Information) 


(Georgetown University) جورجتون‎ 


http//www.k-state.edu/its/security/procedures/incidentmgt.html «4.385 إدارة الحوادث في جامعة ولاية‎ (A) 
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الفصل الثالث عشر 


المعلومات الصحية الإلكترونية ال محمية: وتشمل البيانات الحاسوبية القدهة والحالية 
والمستقبلية ذات العلاقة بالصحة الجسمية أو العقلية, أو العلاج والرعاية الصحية: أو 
دفع تكاليف الرعاية الصحية. وتشمل Lal‏ المعلومات التي مكن أن تحدد الفرد aS‏ 
ورقم الضمان الاجتماعي» والعنوان» وتاريخ الميلاد. والتاريخ الطبي أو رقم السجل الطبيء 
وتشمل كذلك المعلومات المرسلة أو المحفوظة إلكترونيا ولكن باستثناء بعض سجلات 
الطلاب وسجلات التعليم. وال معلومات الصحية الإلكترونية ا محمية لا تشمل سجلات 
الطالب الدراسية» Le‏ في ذلك السجلات الطبية (والمحمية موجب قانون «الحقوق التعليمية 
والخصوصية للأسرة» ((FERPA)‏ والسجلات الطبية للموظفين والتي استلمتها الجامعة 
بصفتها صاحب العمل» وسجلات تعويضات ال موظفين. وعلى الرغم من أن هذه السجلات 
Y‏ ينطبق عليها قانون إمكانية نقل التأمين الصحي والمساءلة (HIPPA)‏ أو قواعد الأمن 
والخصوصية: لكن سياسات الجامعة الأخرى تغطي خصوصية وأمن هذه المواد. كما أن 
هناك أحكاماً خاصة في القانون تتعلق بنشر سجلات العلاج النفسي. 

هذا التعريف مهم للغاية لسياسة قانون التأمين الصحي وإمكانية الحمل وا محاسبة 
IRAR)‏ في جامعة جورجتون لأن «المعلومات الصحية الإلكترونية المحمية» (ePHI)‏ 
ا محور الأساسي .(HIPAA) eis‏ وهذا التعريف لا يحدد فقط ما يعد lays‏ من 
(PHI)‏ بل يحدد أيضا بعض الأمثلة الواضحة عما لا يُعد جزءاً من (ePHI)‏ مثل سجلات 
الطلاب. 

X xis‏ مصطلح «موارد المعلومات» مصطلحاً شائع الاستخدام في سياسات تقنية 
المعلومات. لكن ما الذي يقصد موارد المعلومات؟ هل تشمل تلك الموارد الهاتف الذي 
للموظف؟ وهل تشمل جهاز الحاسب JYI‏ المحمول للطالب؟ وهل تشمل جهاز الفاكس 
التابع للإدارة؟ وهل تشمل رقم هاتف عضو هيئة التدريس؟ نستعرض فيما يلي تعريف 
«موارد ال معلومات» في كلية ماريست :""(Marist College)‏ 

لأهداف هذه السياسة» يُقصد مموارد المعلومات ما يلي: 


(9) سياسة قانون التأمين الصحي وإمكانية الحمل والمحاسبة (HIPAA)‏ في جامعة جورجتون. http://policies.‏ 
georgetown.edu/hipaa/sections/security/62953.html‏ 


http://security.marist.edu/policy.pdf سياسة أمن المعلومات في كلية ماريستء‎ (V) 
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السياسات واطعايير واممبادئ التوجيهية 


.١‏ جميع ما تملكه كلية ماريست من أجهزة حاسوبيةء وبرمجيات» وأجهزة التواصلء 
وأجهزة شبكية» وبروتوكولات الاتصالات والشبكات, وأجهزة التخزين المرتبطة 
والوحدات الطرفية. 

.Y‏ الأجهزة الحاسوبيةء والبرمجيات. وأجهزة التواصلء والأجهزة AKL idl‏ وأجهزة 
التخزين المرتبطة والوحدات الطرفية التي تتصل بأي مورد من موارد المعلومات في 
كلية ماريست. 

.Y‏ الأجهزة الحاسوبية» والبرمجيات. وأجهزة التواصلء والأجهزة الشبكيةء وأجهزة 
التخزين المرتبطة والوحدات الطرفية التي تحفظ أو تنقل معلومات تختص بكلية 
ماريست. 

.٤‏ جميع البيانات والمعلومات والملكية الفكرية التي تنقل عبر أي مورد من موارد 
المعلومات في كلية ماريست أو تحفظ فيه. 
والأفلام» وأي وسائط تحتوي على معلومات, أو بيانات» أو ملكية فكرية تعود 
ملكيتها لكلية ماريست. 

وهذا تعريف دقيق جداً لموارد ا معلومات. وبعد ورود هذا التعريف في السياسة» يجب 

ألا يكون هناك أي سؤال حول ما يُقصد بمموارد ال معلومات. 


بيان السياسة: 


ab pus‏ إلى الجزء الذي يشرح للقارئ السياسة الفعلية التي نريد تأسيسها. وهذا 
الجزء يذكر جميع المفاهيم التي عرضت في الأقسام السابقة: الغرضء والمبادئ التوجيهية 
للمنظمة» وأهداف السياسة. والتعريفات. وصولا إلى الخاتمة. ويوضح بيان السياسة كيف 
الفقرة التالية جزء من «الإجراءات والمتطلبات اللاسلكية» Wireless Requirements)‏ 
(and Procedures‏ في جامعة ماساتشوستس في بوسطن (University of Massachusetts)‏ 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات AV‏ 


الفصل الثالث عشر 


وهذه الفقرة تناقش نقاط الوصول اللاسلكية (Wireless Access Points)‏ وهي النقاط 
التي تربط بين الجهاز المحمول وبقية الشبكة: 

نقاط الوصول اللاسلكية المتصلة بالبنية التحتية للجامعة يجب أن تكون مسجلة في 
تقنية ال معلومات. ويجب أن تكون متوافقة مع المعايير التقنية ومتوافقة مع مصطلحات 
التسمية المحددة من قبل تقنية المعلومات. وعملية التسجيل تتطلب معلومات عن الوحدة 
الجامعية المعنية وارتباطها المحدد, وال موقح» والغرض» وكذلك معلومات فنية وتشغيلية 
عن نقاط الوصول اللاسلكية. ويمكن إنهاء عملية التسجيل باستخدام النموذج الإلكتروني 
الموجود على الموقع الإلكتروني لتقنية ا معلومات. ويهدف هذا التسجيل لتعريف نقطة 
الوصول اللاسلكية» بهدف تسهيل الاتصالات بين جميع الأطراف المسؤولة عن دعم الشبكة 
اللاسلكية والعمليات» وضمان الامتثال لسياسات الجامعة ومعاييرها ومبادثها التوجيهية, 
وأيضاً ضمان الامتثال للقواعد واللوائح المحلية والتابعة للولاية والدولة. 

وهذا هو النوع الشائع من السياسات. نقاط الوصول اللاسلكية (WAPs)‏ المنتشرة في 
الحرم الجامعي بلا مبالاة قد تسبب مشكلات في الجامعة. فإذا لم تتم الإعدادات بشكل 
صحيح» فإن الفرد الذي يتجول في الحرم الجامعي قد يرتبط بنقاط الوصول اللاسلكية بالخطأ 
مما يعرضه لهجمات التحسس (sniffing attack)‏ وكذلك فإن تتبع الاتصال لمستخدم 
معين يصبح غير ممكن بسبب الإعداد غير الصحيح لنقاط الوصول اللاسلكية. ويختلف 
بيان السياسة في طوله تبعا للموضوع وتبعا لاختيار ا منظمةء فهناك منظمات تختار تجميع 
القضايا الأمنية المتعددة في سياسة واحدة في حين أن منظمات تختار تقسيمها إلى سياسات 
متعددة. وكلما كان ممكناً فإن بيان السياسة يضع الخطوط العريضة لمسؤوليات تنفيذ 
السياسة. 

عند استلام «منسق الاستجابة للحوادث الأمنية» Coordinator of Incident)‏ 
(Response‏ للتقرير فإنه مسؤول عن تقييم صحة التقريرء وتحديد ما إذا كان الحادث 
يتبع لتقنية ا معلومات» ومسؤولاً Lal‏ عن تصنيف حوادث تقنية المعلومات. والشروع في 
إجراءات التعامل مع الحادث. 


M‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


السياسات واطعايير والطبادئ التوجيهية 


العبارة أعلاه جزء من سياسة الاستجابة لحوادث أمن البيانات Data Security)‏ 
(Incident Response Policy‏ في جامعة بوردو .(Purdue University)‏ وهي واحدة 
من العديد من العبارات التي تحدد مسؤوليات منسق الاستجابة للحوادث الأمنية. 
إلزام التنفيذ: 

جزء «إلزام التنفيذ» يكون عادة آخر جزء في السياسة. وقد يشير هذا الجزء إلى سياسات 
أخرى لتوضيح العقوبات. كما أنه من النادر أن يحدد هذا الجزء العقوبةء ويذكر هذا 
الجزء dole‏ مجموعة من التدابير الممكنة مثل عبارة «بحد أقصى وشاملة». وعبارة «التدابير 
امناسبة». وهذا القسم des‏ إلى استخدام «ممكن» بدلا من «يجب» والمستخدمة à‏ بقية 
أجزاء السياسة. ونستعرض فيما يلي مثالا على قسم «إلزام التنفيذ» من جامعة كارنيجي 
ميلون "(Carnegie Mellon)‏ 

انتهاك هذه السياسة قد يؤدي إلى تعليق أو فقدان المخالف لامتيازات الاستخدام» وذلك 
فيما يتعلق ببيانات المنظمة ونظم المعلومات ال مملوكة للجامعة. وقد يتم تطبيق عقوبات 
إدارية إضافية بالحد الأقصى Ue‏ في ذلك الفصل من الوظيفة الجامعية أو فسخ العقد مع 
المورد. كما قد يتم تطبيق الإصلاحات الجنائية واممدنية العادلة. 

قسم «إلزام التنفيذ» قد يذكر أيضاً بعض الاستثناءات oda]‏ السياسة. أو الوسيلة التي 
تتيح للمستخدم التقدم للحصول على استثناء للسياسة. السياسة السابقة نفسها من جامعة 
كارنيجي ميلون (Carnegie Mellon)‏ تضيف ما يلي: 

استثناءات هذه السياسة يجب الموافقة عليها من مكتب أمن ال معلومات وذلك بتوجيه 
من «اللجنة التوجيهية والتنفيذية للحوسبة» Executive Steering Committee on)‏ 
(Computing‏ وتوثيق ذلك رسميا. وسيتم مراجعة استثناءات هذه السياسة بشكل دوري 

ومكتب أمن المعلومات لا يقوم فقط بقبول أو رفض طلبات الحصول على استثناء بل 
يقوم أيضا بمراجعة تلك الطلبات من وقت لآخر للتأكد من أنها تتناسب مع التهديدات 


(١1)#سياسة o9]‏ ا معلومات في جامعة كارنيجي http://www.cmu.edu/iso/governance/policies/.)s lee‏ 


information-security.html 
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الفصل الثالث عشر 


التكنولوجية الحالية ومن ثم لا تُصبح الجامعة في خطر. وتجدر أيضاً ملاحظة أمر مشترك 
في السياسات ورد في هذه الفقرة: سوف يتم مراجعة الاستثناءات بشكل دوري. أي أن 
ا مراجعة ليست سنوية ولا شهرية بل دورية. وتتم الصياغة بهذا الأسلوب حتى لا يخالف 
مكتب أمن المعلومات السياسة التي وضعها بعدم مراجعة الاستثناءات في جدول زمني 
محدد. فعملية ال مراجعة هكن تأجيلها عند ظهور مسائل أخرى أكثر أهمية. 

وعند اعتماد السياسات من قبل المنظمة فإن الامتثال أمر إلزامي. وفيما يلي مثال آخر 
من السياسة الأمنية لوزارة الزراعة الأمريكية (USDA)‏ وذكرت هذه السياسة ما ذكرناه 
آنفاً وهو أن كل من يتعامل مع بيانات وزارة الزراعة يجب أن هتثل للسياسة الأمنية. وف 
الفقرة الأخيرة تناقش السياسة موضوع إلزام التنفيذ. 

جميع مستخدمي المعلومات ومستخدمي نظم المعلومات الآليةء متضمناً ذلك الموردين 
الذين يعملون لوزارة الزراعة» مطالبون بالامتثال لسياسة أمن نظم المعلومات وكذلك 
الامتثال للإجراءات وا ممارسات التي طورت لدعم هذه السياسة. ويخضع أي مورد يتعامل 
مع بيانات حساسة لوزارة الزراعة للمتطلبات الأمنية المنصوص عليها في النظام الإداري 
(Departmental Regulation)‏ 

ويتحمل أي شخص يشتبه في سوء استخدامه لموارد نظم معلومات وزارة الزراعة أو 
محاولة إساءة استخدامها مسؤولية الإبلاغ عن هذا النشاط إلى المسؤولين الإداريين وإلى 
مدير برنامج أمن نظم المعلومات (ISSPM)‏ 

وسيتم رفع انتهاكات المعايير أو الإجراءات أو ال ممارسات الداعمة لهذه السياسة إلى 
المسؤولين الإداريين لاتخاذ الإجراء ا مناسب متضمناً ذلك الإجراءات التأديبية والتي قد 
تشمل الفصل من الوظيفة”"". 

وهذه الفقرة توضح أمراً شائعاً في السياسات يتعلق بإلزام التنفيذ. فبدلاً من تحديد 
أن أي شخص يقوم بأمر مخالف سيتم فصله مباشرة من ال منظمة, فإن السياسة تخفف 
من ذلك بقول أن الإجراء التأديبي «يصل إلى» الفصل من الوظيفة. وصياغة العبارة بهذه 


http://www.ocio.usda.gov/sites/default/files/docs/2012/ السياسة الأمنية لوزارة الزراعة الأمريكية,‎ (1Y) 
htm.001-DR3140 
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الطريقة تسمح للمسؤولين الإداريين تطبيق العقوبات الخاصة بهم دون الحاجة بالضرورة 
لفصل الموظف. وفي الواقع فإن هذه السياسة لا تضع مدا أدنى لإلزام التنفيذ حيث إن 
العقوبة EA‏ قد تكون كافية وفقاً للنوايا والمقاصد. 

ولا cu‏ هنا أن ننتقد هذه السياسة بالتحديد. لكن من المهم الإشارة إلى أن هذه 
السياسة تفتقر إلى نقطة مهمة ومطلوبة من قبل الإرشادات التوجيهية التابعة لنموذج 
«أهداف التحكم للمعلومات والتكنولوجيا ذات الصلة» Control Objectives for)‏ 
(Information and Related Technologies‏ والذي يعرف اختصارا ب (COBIT)‏ 
ويوجد طرق لتطوير هذه السياسية حيث إن أحد البدائل التي من شأنها أن تجعل هذه 
السياسة متوافقة مع نموذج (COBIT)‏ هو النص على فصل الجاني من وظيفته» ثم السماح 
بطلب الاستئناف في حال وجود ظروف خاصة. 
تقييم الأثر والتدقيق: 

عند الانتهاء من كتابة السياسة فإنه ينصح بشدة أن يتم مراجعة السياسة من قبل جميع 
المستفيدين المتأثرين من تلك السياسة. وخلال هذه المرحلة يتم تعميم مسودة السياسة 
على المستفيدين ويُطلب آراؤهم حولها. وأحد الأسئلة التي تطرح على المستفيدين هو ما 
إذا كانت السياسة الجديدة أو التغيير في السياسة الحالية يؤثر في الإدارات المستفيدة el‏ 
لا. وعلى المنظمة أن تكون مدركة لأثر فشل تمرير السياسة الجديدة كإدراكها لأثر نجاح 
تمرير السياسة. 

وعند مناقشة السياسات وتدقيقها فإن موضوع الحوكمة àb (Governance)‏ على 
الفور» فالحوكمة ترتبط بالتسلسل الهرمي لاتخاذ القرار في المنظمة. وفي مجال السياسات 
کاو الجوكمة 55 ua‏ اللجان eal cal legas‏ القدرة dle‏ رفض LI‏ فيل أن 
تصبح رسمية. وفيما يلي JU‏ من جامعة ميشغن "(University of Michigan)‏ 

فيما يلي المستويات المختلفة لحوكمة ال مراجعة والتدقيق للسياسات وامعايير وامبادئ 
التوجيهية (والتي صيغت فاا من قبل مجموعات العمل الخاصة بتطوير سياسات تقنية 
ا معلومات): 
(W)‏ نموذج تطوير السياسات في جامعة http://cio.umich.edu/policy/framework.php «zi‏ 
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ا مدير التنفيذي لأمن المعلومات (0150) /التدقيق الداخلي (114): ال مراجعة اممبدثية 
للسياسات واطعايير واطبادئ التوجيهية. 

مجلس التدقيق الداخلي (114): المستوى الأول لحوكمة مراجعة السياسات وامعايير 
والمبادئ التوجيهية التابعة لتقنية ا معلومات. 

مدير المعلومات (CIO)‏ ا مستوى الثاني لحوكمة مراجعة السياسات التابعة لتقنية 
المعلومات. وامموافقة النهائية على المبادئ التوجيهية وا معايير قبل اعتمادها ونشرها في 
الحرم الجامعي. 

مجلس تقنية المعلومات: المستوى الثالث لحوكمة مراجعة السياسات التابعة لتقنية 
ا معلومات» السياسات الجديدة أو السياسات التي أجريت عليها تغييرات جوهرية تتطلب 
موافقة ال مجلس. 

اللجنة التنفيذية لتقنية المعلومات: المستوى الأخير لحوكمة مراجعة السياسات التابعة 
d‏ المعلومات» salades cos bl Cu‏ العديدة أو دة ك das‏ الما رسا 
اموحد» (Standard Practice Guide)‏ تتطلب موافقة اللجنة التنفيذية لتقنية المعلومات. 


وقد يكون هناك مستويات أخرى لوافقة المعنيين قبل أن تصبح السياسة رسمية. 
وعموما من أجل تطبيق السياسة في المنظمة بأكملهاء لابد أن يتم تدقيقها من قبل 
مجموعات أخرى. فأعضاء هيئة التدريس وربما حتى المنظمات الطلابية قد يكون لهم رأي 
في السياسة. وبعض الجامعات لديها «مجموعات سياسة» محددة ومعدة بحيث يكون لها 
تمثيل في الحرم الجامعي» وتكون مسؤولة عن مراجعة السياسات والموافقة عليها أو رفضها. 
وتتعامل جامعات أخرى مع السياسات من خلال مكتب المستشار العام. وفيما يلي مثال 
من جامعة كورنيل (Cornell University)‏ ': 

بعد موافقة السلطة التنفيذية المسؤولة» يقوم مكتب السياسات ف الجامعة (UPO)‏ 
بتوزيع وثيقة مسودة السياسة على أعضاء الفريق الاستشاري (Policy Advisory Group)‏ 
قبل اجتماع أعضاء الفريق. وتقوم السلطة التنفيذية المسؤولة أو المكتب المسؤول بعرض 
)€( صياغة وإصدار سياسات جامعة كورنيلء http://www.dfa.cornell.edu/cms/treasurer/policyoffice/‏ 


policies/volumes/governance/upload/vol4 l.pdf 
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مسودة السياسة في الاجتماع حيث يتم مراجعة مدى واقعية ووضوح الوثيقة. وبعد 
اجتماع أعضاء الفريق الاستشاريء يقوم مكتب السياسات في الجامعة والمكتب المسؤول 
بمراجعة السياسة وإجراء التغييرات المقبولة والمقترحة من قبل أعضاء الفريق الاستشاري. 
وبعد ذلك يقترح أعضاء الفريق الاستشاري أن تقوم مجموعة مراجعة السياسات التنفيذية 
(EPRG)‏ بالموافقة على الوثيقة التي تم مراجعتها. 

وبعد موافقة السلطة التنفيذية ا مسؤولة» يقوم مكتب السياسات في الجامعة (UPO)‏ 
بتوزيع مسودة السياسة النهائية على مجموعة مراجعة السياسات التنفيذية (EPRG)‏ 
قبل اجتماع أعضاء المجموعة. وتقوم السلطة التنفيذية المسؤولة بعرض مسودة السياسة 
النهائية في الاجتماع حيث يتدارس أعضاء مجموعة مراجعة السياسات التنفيذية الموافقة 
النهائية على السياسة» ولاسيما مبادئ تلك السياسة. ويقوم مكتب السياسات في الجامعة 
والمكتب المسؤول بإجراء التغييرات وفقاً لتوجيهات مجموعة مراجعة السياسات التنفيذية 
(EPRG)‏ 

وبمجرد موافقة مجموعة مراجعة السياسات التنفيذية (EPRG)‏ والسلطة التنفيذية 
المسؤولة على الوثيقةء يقوم مكتب السياسات في الجامعة (UPO)‏ بكتابة تاريخ الموافقة 
النهائية وتوثيق هذا التاريخ بأنه التاريخ الذي تم فيه إصدار الوثيقةء كما يقوم المكتب 
بنشر السياسة إلى المجتمع الجامعي من خلال إعلان رسمي. 

ويقوم مكتب السياسات في الجامعة (UPO)‏ بمعالجة عملية إصدار السياسات. أما 
أعضاء الفريق الاستشاري فهم مجموعة متعددة الوظائف مسؤولة عن عمليات الموافقة. 
وفي جامعة كورنيل يجتمع أعضاء الفريق الاستشاري من وقت لآخر لاتخاذ القرارات التي 
تتعلق بالسياسة. وفي الجامعات الأخرى يمكن أن تتم عملية التدقيق عبر البريد الإلكتروني 
مع تحديد موعد li‏ للإنجاز. 

وكما ترى قد يستمر الحديث لعدة أسابيع قبل الوصول إلى مرحلة إصدار السياسة 
وجعلها إلزامية التنفيذ. وهذا أحد الأسباب التي من أجلها يجب أن تترك التفاصيل التقنية 
خارج السياسات قدر الإمكان. وبإضافة إشارة إلى المعيار الموجود في السياسة, وجعل إدارة 
تقنية امعلومات ال مسؤولة عن ال معيارء يمكن تعديل الأمور التقنية. ومن أمثلة ذلك: الحد 
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الأدنى لطول كلمات المرورء وأنظمة التشغيل ال معتمدة. وغيرها من polis‏ تقنية ا معلومات 
المتغيرة والتي هكن تعديلها بسهولة أكبر من خلال المراجعة الداخلية. 

وبينما تبدو هذه المراجعة الواسعة بأنها بيروقراطية غير ضرورية» لكنها في الواقع تمنع 
المنظمة من تطوير سياسات صعبة التنفيذ, كما تمنع تطوير السياسات التي لها عواقب 
غير مقصودة بين المستفيدين. وقبل الحاجة إلى تنقيح السياسات بسبب مواجهة مقاومة 
من المستفيدين» من المهم النظر في جميع المشكلات المحتملة في السياسات قبل رفعها إلى 
الإدارة العليا لطلب موافقتهاء وذلك حتى لا تؤثر في مصداقيتك لدى إدارة المنظمة. 


مراجعة السياسة: 


عند إنشاء السياسة أو ا معيار ونشرهاء متى ينبغي إعادة النظر فيها؟ هناك بعض 
ا مؤشرات التي ينبغي أخذها في الحسبان لكن أكثرها شيوعاً هو ا مراجعة الدورية للسياسات. 
وعادة ما تكون الجامعات معتمدة من قبل منظمات أكاديمية خارجية. ففي فلوريداء 
منظمة الاعتماد هي «الرابطة الجنوبية للكليات والمدارس» Southern Association)‏ 
(of Colleges and Schools‏ أو às (SACS) b az‏ كل خمس سنوات تقوم رابطة 
(SACS)‏ بإرسال فريق من المحققين الأكادميين إلى الجامعة. وذلك للنظر في الدرجات 
العلمية التي تقدمها الجامعة والسياسات والإجراءات العامة فيها. وأحد الأمور المحددة 
التي تنظر فيها رابطة (SACS)‏ هو ما إذا كانت الجامعة gel‏ السياسات بشكل دوري 
متضمناً ذلك سياسات تقنية المعلومات. فإذا كان عمر السياسة عشر سنوات» فهل تم 
مراجعتها مؤخرا؟ وهل تلبي هذه السياسة الاحتياجات الحالية للمنظمة؟ وإذا م يكن 
الحال كذلك» فهل يعكس ذلك إهمال منظم من جانب تقنية ال معلومات؟ والقاعدة العامة 
هو أن يكون هناك مراجعة داخلية لجميع السياسات وامعايير والمبادئ التوجيهية مرة 
واحدة على الأقل في كل ele‏ وعادة ما يكون الأشخاص في تقنية المعلومات وال مسؤولون عن 
إدارة النظام» هم المسؤولين إلى حد ما عن كتابة السياسات. وفترة المراجعة السنوية هي 
الوقت الذي يتم فيه النظر في جميع المؤشرات لتحديد ما إذا كانت السياسة تحتاج لمراجعة. 


وأحد الأمور التي من شأنها أن تسرع في مراجعة السياسات والمعايير هو ظهور 
الغيرات التكنولوعية. - ومن التاهية اللقالية: تت السياسنات بجنت مكن dali]‏ مخ 
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التكنولوجيا الحديثة من خلال ا معايير بدلا من الاضطرر إلى اللجوء إلى عملية إصدار 
السياسات كاملة. 

كما أن المشروعات الجديدة التي تنشر تطبيقات جديدة أو مُحدثة قد تتطلب مراجعة. 
على سبيل JUL‏ تغيير بوابة الموظفين إلى تطبيق جديد يمكن أن يكون تجربة كبيرة تحتاج 
في الوقت ذاته إلى تغيير في السياسات والمعايير والمبادئ التوجيهية. 

أما التغييرات في الامتثال التنظيمي قد تتطلب إعادة تقييم للحوكمة. على سبيل 
eo «JULI‏ قانون «فرصة التعليم العالي» (Higher Education Opportunity Act)‏ 
لعام ۲٠١۸‏ والذي يعرف اختصاراً (HEOA)‏ الجامعات لاتخاذ موقف أكثر صرامة ضد 
ا مشاركة غير الشرعية للمواد ا محمية الحقوق مثل الأفلام أو الموسيقا. ووفقاً لمنظمة 
(EDUCAUSE)‏ "^ فإن العديد من أقسام قانون (HEOA)‏ تعالج Jols‏ الملفات غير 
ا لمصرح به على شبكات الجامعات مما أدى إلى فرض ثلاثة شروط عامة على جميع الكليات 
والجامعات الأمريكية: 


CA AS o‏ سنوي يوضح للطلاب قانون حقوق النشر وكذلك سياسات الحرم الجامعي 
المتعلقة بانتهاك حقوق النشر. 

o‏ خطة ل«القضاء الفعال على التوزيع غير امصرح به للمواد المحمية الحقوق» من 
قبل مستخدمي الشبكة» ها في ذلك «استخدام واحد أو أكثر من أساليب gl‏ 
التكنولوجية». 

٠‏ خطة ل «توفير بدائل لعمليات التحميل غير المشروعة». 


ووفقاً لهذا القانونء كان مطلوباً من الجامعات أن Jis‏ جهداً للامتثال بحلول شهر 
أغسطس من عام 7٠١08‏ على الرغم من أنه م يتم الالزام بتنفيذ القانون إلا بحلول عام 
Y «V‏ وعدم الامتثال قد يؤدي إلى خسائر مالية كبيرة على الجامعةء وذلك من جانب 
المساعدات المالية التي تقدمها الحكومية. وقد أدى التغيير في الامتثال إلى تغيير في العمليات» 
والذي يجب أن ينعكس على شكل تغييرات في السياسات الحالية. 


(15) HEOA of 2008, EDUCAUSE, http://www.educause.edu/library/higher-education-opportunity- 


act-heoa 
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الامتثال: 
قبل أن نناقش بعض الأمثلة وبعض القضايا الرئيسية المتعلقة بالسياسات. سنناقش 


موضوع عادة ما Las‏ ء فهمه وهو موضوع الامتثال. والأهم من ذلك أن ذخ نفهم الفرق بين 
البيئة الآمنة والبيئة الممتثلة. 


الامتثالء والذي مسار Estela)‏ بالامتثال التنظيميء يتضمن اتباع المواصفات التي 
ces‏ السامات ellas‏ القائونية» Lg‏ ها Lc‏ السياسات من )1( ibali olus‏ 
المنطلقة من الامتثال التنظيميء أو (ب) الأحداث ذات الآثار السلبية على المنظمة. olas‏ 
المواضتفات dona)‏ غالبا ها تكون doute‏ وة حموها في حال الامتثال المفروض من 
قبل قانون الولاية وقانون الدولة. على سبيل JELI‏ تسرب أرقام الضمان الاجتماعي Social)‏ 
à (Security Numbers‏ السنوات الماضية أدى إلى تأسيس العديد من قوانين الولاية التي 
تفرض حماية أرقام الضمان الاجتماعيء لكن تلك القوانين مم تعالج الأسباب الذي يتعين من 
أجلها قيام المنظمات بجمع أرقام الضمان الاجتماعي. 

لكن من ال مهم للمحلل الأمني أن يفهم الفرق بين الأمن والامتثال. دعنا نفترض أنك 
على سبيل المثال. تحتفظ بخادم آمن للغاية ويحفظ هذا الخادم «بيانات مقيدة» تابعة 
للمنظمة التي تعمل فيها. وفي هذا الخادم الافتراضي تحتفظ المنظمة بآلاف من معلومات 
بطاقات الاثتمان الخاصة بالعملاء. كما أنك قمت في مثالنا هذا بإعداد Ye‏ نوعا من 
الضوابط للحفاظ على ehl gal‏ ومن تلك الضوابط: حساب واحد Y‏ يعرفه إلا أنت» 
والمصادقة المتعددة العواملء والجدر النارية» وغيرها. وبغض النظر عما فعلت لحماية 
البيانات» فإنه إذا لم يتم تشفير بيانات بطاقات الائتمان» فإن النظام قد لا يفي بمتطلبات 
الامتثال وفقا لسياسة «صناعة بطاقات الدفع» (Payment Card Industry)‏ 

وهذا لا يعني أن الامتثال ليس مهماً حيث تتأكد إدارة التدقيق والامتثال الداخلية 
(Internal Audit and Compliance)‏ من التزام المسؤولين وبقية الموظفين بالقوانين 
والسياسات التي تدير ا منظمة. وذلك حتى لا تصبح ال منظمة في خطر لا مبرر له. وق 
مجان 3 tos Let‏ فإن غياب إدارة التدقيق والامتثال الداخلية» التي تشترك مع تقنية 
المعلومات في بعض المشاريع» يعني أن مسؤولية التزام جميع المصادر الموضحة في الشكل 
(Y-W)‏ ترجع إلى إدارة تقنية ال معلومات. وإذا كان سياق الامتثال غير موجود فإن إدارة 
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الأمن وفرق العمليات ستقوم ها تعتقد أنه صحيح ولكن هكن أن يكون ذلك في حقيقة 
الأمر إضاعة للجهد بسبب عدم تحقيق النتائج المرجوة. 

إن الامتثال جانب أساسي لأي مشروع. ولذا ينبغي الاهتمام بالامتثال مبكراً في مراحل 
التخطيط للمشروع. فتصميم المشروع والامتثال التنظيمي في الاعتبارء أسهل بكثير من 
التعديل والتكييف وفقا للمتطلبات بعد الانتهاء من المشروع. 


الشكل :)"-١١(‏ الامتثال 


قوانين الولاية 





وكل ولاية لديها مجموعة من متطلبات الامتثال التنظيمية. وبعض تلك المتطلبات 
موجهة مباشرة نحو موارد تقنية ا معلومات مثل قانون الإشعار بالاختراقات Breach)‏ 
(Notification Law‏ التابع لولاية كاليفورنيا. [FN‏ طوقع «(datagovernance.com)‏ 
فإن قانون معلومات الاختراقات الأمنية التابع لولاية كاليفورنيا California Security)‏ 
(Breach Information Act‏ رقم )1386 (SB‏ هو قانون في ولاية كاليفورنيا يتطلب من 
الشركات التي تجمع معلومات شخصية أن تقوم بإشعار كل شخص موجود في قاعدة 
بياناتهم في حال حدوث اختراق أمني يتضمن معلوماتهم الشخصية مثل أرقام الضمان 
الاجتماعي» وأرقام الحسابات.» أرقام البطاقات الائتمانية وبطاقات الصرف الآلي» أو الرموز 
الأمنية أو كلمات المرور المرتبطة بالوصول لحساباتهم المالية. 

والقوانين الأخرى تؤثر بشكل غير مباشر في تقنية المعلومات مثل قوانين الاحتفاظ 
بالسجلات (Record Retention)‏ في ولاية 325918 Ag‏ هذه القوانين مجموعة معقدة 
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من اللوائح تحتوي على جداول الاحتفاظ والتي تحدد سجلات المنظمة» كما تضع الحد 
duae] col AD all‏ اللازمة الاستفاظ بالمجلات Taux al‏ إل القيتبة الإدازية aii‏ 
والقانونية والتاريخية للسجلات ‏ . 

وبالإضافة إلى متطلبات LYI‏ هناك أيضاً متطلبات الامتثال الفيدرالية التي ضعت 
من قبل العديد من القوانين واللوائح المختلفة اعتماداً على نوع الصناعة أو نوع البيانات 
التي تعالجها المنظمة. وبشكل مشابه للوائح الولايةء فإن بعض المتطلبات الفيدرالية 
موجه بشكل مباشر لوارد تقنية ا معلومات. وبعض تلك المتطلبات يؤثر بشكل غير مباشر 
في تقنية ا معلومات. ونستعرض فيما يلي بعضاً من اللوائح الفيدرالية الأكثر شهرة والأكثر 
وک od (ga‏ الوه iir‏ ما dia M‏ عن daz ala (lS psal‏ )13 موف 
نستعرض هذه اللوائح بإيجاز. 
قانون التأمين الصحي وإمكانية الحمل والمحاسبة (HIPAA)‏ 

لائحة الخصوصية التابعة لقانون (HIPAA)‏ تقدم حماية فيدرالية للمعلومات الصحية 
الشخصية ال محفوظة في المنظمات ال مشمولة, كما تعطي تلك اللائحة المرضى تنظيما للحقوق 
المتعلقة بتلك المعلومات. وف الوقت نفسه فإن لائحة الخصوصية متوازنة بحيث تسمح 
بالكشف عن المعلومات الصحية الشخصية اللازمة للعناية باللمرضى أو اللازمة للمقاصد 
الهامة الأخرى. 

كما تحدد لائحة الخصوصية سلسلة من الضمانات الإدارية والمادية والفنية لاستخدام 
المنظمات المشمولة لضمان خصوصية المعلومات الصحية الإلكترونية وتكاملها وجاهزيتها”" . 


:(Financial Modernization Act) (GLB) قانون التجديد المالي‎ 


ce‏ هذا anis‏ من «المنظمات اطالية» ا خصوصية = يما ذلك 
متنوعة من aJU PEN‏ تختص T "m‏ أمورهم, فإنها iy a‏ عن Re‏ 


http://dlis.dos.state.fl.us/recordsmgmt/scheduling.cfm جدولة الاحتفاظ بالسجلات وترتيبهاء‎ (Y) 


http//www.hhs.gov/ocr/privacy/hipaa/understanding/index.html فهم خصوصية المعلومات الصحية.‎ (VV) 
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السجلات الشخصية لطلابها. ومن بين المنظمات التي تخضع لهذا القانون منظمات 
الإقراض والرهن غير البنكية» وسماسرة القروضء وبعض ال مستشارين اطاليين ومستشاري 
الاستثمار ومعدي الضرائب» ومقدمي خدمات التسوية العقارية. ومحصلي الديون. وفي 
الوقت ذاته فإن لوائح هذا القانون تنطبق فقط على المنظمات التي «تعمل بشكل كبير» 
في الأنشطة اطالية. 
ويتكون هذا القانون من نوعين من القواعد: قاعدة الحماية «(Safeguards Rule)‏ 
وقاعدة الخصوصية (Privacy Rule)‏ ووفقا للموقع الإلكتروني لهذا القانون» فإن قاعدة 
الحماية تتطلب من المنظمات تطوير خطة مكتوبة لأمن ا لمعلومات تصف فيها برنامج 
لحماية معلومات العملاء. ويجب أن تكون الخطة متناسبة مع حجم المنظمة والتعقيد 
ا موجود فيهاء وطبيعة ونطاق أنشصطتهاء وأهمية معلومات العملاء التي تعالجها. وكجزء من 
هذه الخطة يجب على المنظمة ما يلي: 
٠‏ تعيين موظف واحد أو أكثر لتنسيق برنامج أمن ا معلومات لديها. 
عمليات المنظمة» وتقييم فاعلية الحماية الحالية لضبط تلك المخاطر. 
٠‏ تصميم وتطبيق برنامج الحماية» ومراقبة واختبار ذلك البرنامج بشكل منتظم. 
٠‏ اختيار مزود الخدمات الذي يستطيع الحفاظ على الحماية المناسبة» والتأكد من 
أن العقد يتطلب منه الحفاظ على تلك الحماية؛ والإشراف على تعامله مع العملاء. 
٠‏ تقييم وضبط البرنامج Fla‏ على الظروف المحيطة متضمناً ذلك تغير مجال أعمال 
ا لمنظمة أو عملياتهاء أو تغير نتائج الاختبارات واطراقبة الأمنية. 


قانون «الحقوق التعليمية والخصوصية للأسرة» :(FERPA)‏ 
قانون «الحقوق التعليمية والخصوصية للأسرة» أو اختصاراً (FERPA)‏ رقم )20 U.S.C,‏ 


وينطبق هذا القانون على جميع المدارس التي تتلقى دعم مالي في إطار البرنامج المطبق في 
وزارة التعليم الأمريكية (US Department of Education)‏ 
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وقد تكشف امدارسء دون وجود موافقة dadas‏ عن دليل من ال معلومات يحتوي على 
اسم الطالب» وعنوانه» ورقم هاتفه» وتاريخ ومكان الميلاد. والأوسمة والجوائزء وتواريخ 
E‏ لقنن وحن gula d ue‏ أن تخير أولقناء الأمون والطلاق os cales‏ ولل 
المعلومات» وإعطائهم الوقت الكافي لطلب ألا تقوم المدارس بالكشف عن معلوماتهم في 
دليل المعلومات في حال رغبتهم ذلك. كما يجب على المدارس سنويا إبلاغ أولياء الأمور 
والطلاب المؤهلين بحقوقهم بموجب قانون (FERPA)‏ أما آلية الإبلاغ (رسالة خاصة» أو 
إدراجها في نشرة جمعية أولياء الأمور وا مدرسين (PTA)‏ أو في كتيب دليل الطالب» أو في 
مقال صحفي) فمتروك أمرها لاختيار كل مدرسة". 


قانون ساربينز أوكسلي :(Sarbanes-Oxley Act)‏ 

قدم قانون ساربينز أوكسلي (Sarbanes-Oxley Act)‏ أو اختصاراً (SOX)‏ لعام 
coL as]‏ العديد من فضائح الشركات» وهو قانون معقد من التشريعات التي تتطلب إجراء 
تغييرات كبرى في الشركات من أجل 3 تحقيق الامتثال في منظماتهم. ويحمّل هذا القانون 
كبار المسؤولين التنفيذين المسؤولية الشخصية عن دقة وحداثة ال معلومات امالية للمنظمة. 
وذلك تحت تهديد المملاحقة الجنائية. ولذلك أصبح الامتثال لهذا القانون أولوية قصوى 
للشركات ال متداولة ذات الملكية العمومية. 

ووفقاً للقانون الفيدرالي فإن إدارة تقنية المعلومات تلعب دوراً رئيسياً في تأمين دقة 
وموثوقية بيانات ال منظمات. > ومع تطبيق قانون (SOX)‏ أصبحت ضوابط تقنية ا معلومات 
أكثر انتشارا ونذكر هنا By‏ من عمليات تقنية ال معلومات التي من ell‏ أن يتم فحصها 
عند التحقق من الامتثال: 

٠‏ إدارة الأمن. 

٠‏ النسخ الاحتياطي للبيانات. 

" التحكم à‏ التغيير. 
OA)‏ امموقع الإلكتروني لوزارة التعليم http://www2.ed.gov/policy/gen/guid/fpco/ferpa/index.html ÀS YI‏ 
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قوانين الرقابة على التصدير: 
يُعد موضوع قوانين الرقابة على التصدير موضوعاً ساخناً للجامعات البحثية في جميع 
أنحاء البلاد. فالقوانين تمنع التصدير غير المرخص مواد أو معلومات duszo‏ وذلك لأسباب 
ترجع للأمن الوطني وحماية التجارة الوطنية. وعادة ما بثار موضوع الرقابة على التصدير 
لأحد الأسباب التالية: 
٠‏ إذا كانت طبيعة التصدير لها تطبيقات عسكرية فعلية أو محتملة أو ذات علاقة 
بقضايا الحماية الاقتصادية. 
٠‏ إذا كان هناك مخاوف للحكومة بشأن المرسل إليه سواء كان دولة el‏ منظمة أو فردا. 
٠‏ إذا كان هناك مخاوف للحكومة بشأن الاستخدام النهاني المعلن أو المشتبه eta‏ أو 
مخاوف الحكومة بشأن المستخدم النهائي في عملية التصدير”"". 
وتخضع الجامعات البحثية لقوانين التصدير بما في ذلك «لوائح التداول الدولي للأسلحة» 
(International Traffic in Arms Regulations)‏ وا معروفة اختصارا .(ITAR)‏ وقد 
يتم تطبيق هذه القوانين أيضا في الحرم الجامعي على التصدير المؤقت للأجهزة المملوكة 
للجامعة متضمنا ذلك أجهزة الحاسب الآلي امحمولة التي تحتوي على برمجيات أو بيانات 
فنية مراقبة» وكذلك على شحن lal‏ البحثية للمتعاونين الأجانب. 


موضوعات رئيسية ذات علاقة بالسياسات: 
وفيما يلي ملخص سريع لبعض الموضوعات الرئيسية التي يتوجب على أي منظمة أن 
تكون مستعدة للتعامل معها سواء على مستوى السياسات أو على مستوى els!‏ 
الاستخدام المقبول: سياسة الاستخدام المقبول هي واحدة من أهم السياسات الرئيسية 
في المنظمة. وتوضح هذه السياسة إرشادات للمستخدمين والعملاء Ue‏ هو مناسب للقيام 
به باستخدام موارد تقنية المعلومات وما هو غير مناسب. وتعريف النطاق مهم à‏ هذه 
السياسة. وذلك حتى يعرف المستخدم ما الذي يندرج تحت هذه السياسة. وسياسة 
UC Berkeley, Export Controls, http://www.spo.berkeley.edu/policy/exportcontrol.html‏ )19( 
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الاستخدام المقبول للعميل قد تختلف عن سياسة الاستخدام المقبول للموظف. وعادة ما 
تكون هذين السياستين متشابهة في البيئة الجامعية. وإذا كان هناك أي استثناءات لتغطية 
هذه السياسية يجب أن يتم ذكرها. على سبيل «JULI‏ سياسة الاستخدام المقبول في كلية 
الطب قد تكون أكثر صرامة نتيجة لضرورة للامتثال لقانون (HIPAA)‏ 

تصنيف ال معلومات: وتقوم هذه السياسة بتحديد تعريفات أهمية الأصول وحساسيتهاء 
والأمثلة مهمة لتوضيح الغرض من التصنيف. كما تعد تعريفات ملكية البيانات والوصاية 
ANR‏ مهما هده الاد 

الوصول للشبكة: وهذه السياسة تحدد أنواع ال مستخدمين الذين يسمح لهم بالوصول 
إلى موارد الشبكة واموارد الحاسوبية. الطلاب في صالات الإقامة قد لا يكون لديهم وصول 
للشبكات الفرعية ممركز البيانات. وقد يضطر أعضاء هيئة التدريس الزائرين للمرور بعملية 
خاصة من أجل الحصول على امتيازات الشبكة. وقد يستطيع الزوار الوصول إلى الشبكة 
اللاسلكية الخاصة بالضيوف إذا استخدموا أرقام هواتفهم الجوالة في عملية التسجيل. 

الوصول عن بعد: وتحدد هذه السياسة الوسائل المقبولة التي يسمح للموظف من 
خلالها بالوصول إلى الموارد من خارج شبكة المنظمة. وقد تشمل هذه السياسة شروط 
الوصول للبيانات من خلال الهواتف الذكية والأجهزة الشخصية الأخرى. وهذه السياسة 
تحدد ta]‏ ما إذا كان استخدام «بروتوكول سطح ال مكتب عن (remote desktop) «ss‏ 
خياراً مقبولاً أم على الموظف استخدام «الشبكة الخاصة الافتراضية» VPN)‏ 

التشفير: ما نوع البيانات التي تحتاج إلى تشفير؟ ومتى يحتاج خادم الشبكة إلى 
استخدام طبقة المنافذ الآمنة (SL)‏ وهل تحتاج بيئة الاختبار والتطوير إلى تشفير؟ وهل 
بالإمكان أن يتم التوقيع ذاتياً على التصديقات؟ وهل من المقبول أن يتم إرسال المعلومات 
امقيدة عبر البريد الإلكتروني وهي غير مشفرة؟ 

التخطيط للطوارئ: وتحدد هذه السياسة خطط التعافي من الكوارث. وينبغي أن تضع 
a Padi‏ خم E‏ للقيادة في حال وقوع كارثة محلية او كارثة dole‏ وتوضح الخطة 
Lj‏ التسلسل الوظيفي وبدائل ذلك التسلسل في حال عدم إمكانية الوصول إلى شخص ما. 
كما تحدد الخطة lods‏ تنفيذياً e) Lieb‏ الشخص امناسب ليكون Mobius‏ عن التصريحات 
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المرتبطة بالكارثة. وتشير السياسة أيضاً إلى المعايير والإجراءات الأخرى المرتبطة بتفاصيل 
حول ما يجب فعله مع كل نظام في حال وقوع الكارثة. 

الاستجابة للحوادث الأمنية: وتصف هذه السياسة الإجراءات العامة في حال وقوع 
حوادث أمنية ذات تأثير سلبي على المنظمة. وتحدد هذه السياسة الشخص الذي يفترض 
أن داش ف الاستجابة aic E Dao asd del eos o‏ اللسؤول e‏ الأتمالات 
الداخلية والخارجية. كما تحدد السياسة الوقت المناسب لتصعيد الحادث» وكيفية التعامل 
مع ذلك التصعيد. كما تقدم هذه السياسة لرئيس (فريق الاستجابة للحوادث الأمنية) 
امدى المناسب لاتخاذ قرارات سريعة من جانب واحد من أجل حماية أصول ال منظمة. 


المصادقة والتصريح: ما الطرق المقبولة للمصادقة؟ وما الأدوار التي هكن أن يأخذها 
ا مستخدم الفردي؟ ومتى يتم إلغاء حساب المستخدم الذي انتهى عقده الوظيفي؟ وهل 
يسمح للإدارة بطلب تمديد هذه الفترة الزمنية؟ ومن له الحق في الحصول على حساب 
على النظام؟ 


نموذج حالة - شركة :(HB Gary)‏ 


شركة (HB Gary)‏ هي شركة أمن معلومات» ولديها شركة فرعية باسم HB Gary)‏ 
(Federal‏ وكما يوحي اسم هذه الشركة الفرعيةء فإنها تهدف إلى جذب أعمال أمن 
ا معلومات من مختلف الوكالات الفيدرالية في الولايات المتحدة مثل وكلة ا مخابرات 
المركزية (CIA)‏ ومكتب التحقيقات الفيدرالي (FBI)‏ وغيرها. وبسبب ضعف برمجيات 
الشركة وضعف تنفيذها لسياسات كلمات المرورء فقد تم سرقة معظم حسابات البريد 
الإلكتروني للشركة من قبل قراصنة حاسب متعاونين مع مجموعة (Anonymous)‏ 
ومجموعة (Lulzsec)‏ وكان ذلك تقريباً في شهر فبراير من عام .۲١٠١‏ وأدى انتشار هذا 
الحادث وشيوعه إلى جعل هذه الشركة أضحوكة لأنها شركة أمنية» وف الوقت ذاته تسعى 
للحصول على أعمال أمن المعلومات من منظمات تتطلب أعلى مستويات الأمن في العام. 
وي الثاني من شهر sols‏ من عام ۲١٠١‏ اتهم المدعي الاتحادي خمسة أشخاص بهذا الحادث 
كما اتهمهم بجرائم أخرى مرتبطة بها. 
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وقد شرح Jis‏ في الموقع الإلكتروني (Ars Technica)‏ هذا الهجوم بالتفصيل حيث 
قامت شركة (HB Gary)‏ بتطوير نظام مخصص لإدارة المحتوى content-management)‏ 
(system‏ بمساعدة شركة أخرى. والثغرات الموجودة في نظام إدارة المحتوى جعل من 
البرمجيات عرضة لهجمات حقن تعليمات الاستعلام البنيوية .(SQL injection)‏ ومن 
خلال استغلال هذه الثغرةء قام ا مهاجمون بتحميل كامل معلومات المستخدمين من الموقع. 
وعلى الرغم من أن كلمات السر كانت مشفرة. إلا أن اثنين من JUS‏ المسؤولين التنفيذين - 
وهم الرئيس التنفيذي للشركة (Aaron Barr)‏ ومدير العمليات (Ted Vera)‏ - م يلتزما 
بالتوصيات العامة لكلمات المرور من جهتين: )١(‏ آنهما استخدما كلمات مرور بسيطة 
(Y)‏ أنهما استخدما كلمة المرور نفسها ليس لنظام إدارة المحتوى فحسب بل أيضا للبريد 
الإلكتروني» (Twitter) j5539‏ وينكدإن oisg .(LinkedIn)‏ ال معلومات عن اثنين من JUS‏ 
التنفيذين والذين لديهم صلاحيات dile‏ بالإضافة إلى شيء من الهندسة الاجتماعية ASII‏ 
قد سمح للمهاجمين بتحميل جميع الرسائل الإلكتروني للشركة» كما سمح لهم بتشويه 
الموقع الإلكتروني للشركة. 

ومن الممتع قراءة لائحة الاتهام» وقراءة المقال الموجود في الموقع الإلكتروني Ars)‏ 
(Technica‏ بهذا الخصوص. وكذلك قراءة مقال موقع ويكيبيديا بخصوص مجموعة 


."(Lulzsec) 


http://arstechnica.com/tech-policy/2011/02/anonymous-speaks-the-inside-story-of- 
the-hbgary-hack/ 


http://www.wired.com/images blogs/threatlevel/2012/03/Ackroydet-al.-Indictment. 
pdf 


http://en.wikipedia.org/wiki/LulzSec 


(20) Stephen Colbert had his take on the incident, «Corporate hacker tries to take down Wikileaks,» 
http://www.colbertnation.com/the-colbert-report-videos/375428/february-24-2011/corporate- 
hacker-tries-to-take-down-wikileaks (accessed 07/23/2013). Warning: NSFW (not safe for work) 
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السياسات واطعايير واممبادئ التوجيهية 


الملخص: 

في هذا الفصل ميزنا بين الامتثال والأمن. فبينما يشير الامتثال إلى اتباع إجراءات محددة 
فإن الأمن يشير إلى التقليل من الضرر. كما ميزنا في هذا الفصل بين السياسات وامعايير 
والإجراءات» وهي ثلاثة شكال رئيسية للوثائق الرسمية التي توجه أمن الممعلومات في 
المنظمة. ونظرا للأهمية النسبية للسياسات» ناقشنا في هذا الفصل العملية الشاملة لوضع 
السياسات التي يؤمل أن تحقق أهدافها. كما ذكرنا في هذا الفصل الحد الأدنى لسياسات 
أمن المعلومات والتي نعتقد أن على كل منظمة إعدادها. 


المرجع: 


/SANS Policy Templates, http://www.sans.org/security-resources/policies 


أسئلة مراجعة للفصل: 


sj 


Y 


A 


A 


ما سياسات أمن المعلومات؟ 

ما الهدف من سياسات أمن ال معلومات؟ 

ما المعيار؟ 

كيف تختلف المعايير عن السياسات؟ وما أوجه الشبه بينهما؟ 

ما ال مبادئ التوجيهية؟ 

كيف تختلف المبادئ التوجيهية عن المعايير والسياسات؟ وما أوجه الشبه بينها؟ 
ما دورة حياة السياسات؟ وماذا تمر مراحل تطوير السياسات في دورة؟ 

ما الأجزاء التقليدية لسياسة أمن المعلومات؟ 


ما الذي يتضمنه عادة قسم اللمحة العامة في سياسة أمن المعلومات؟ 


.٠‏ ما الذي يتضمنه عادة قسم النطاق في سياسة أمن المعلومات؟ 
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Y 


M 


M 


ME 


9 


NI 


.N 


MA 


.M 


Yl 


VY 


Y 


ما الذي يتضمنه dole‏ قسم التعريفات في سياسة أمن المعلومات؟ 

ما الذي يتضمنه عادة قسم بيان السياسة في سياسة أمن المعلومات؟ 

ما الذي يتضمنه عادة قسم إلزام التنفيذ في سياسة أمن المعلومات؟ 

ما تقييم الأثر والتدقيق للسياسات؟ وماذا asd‏ هذا النشاط مهماً قبل تطبيق 
السياسات؟ 

ما عملية مراجعة السياسات؟ ومتى تتم عادة؟ وما فائدتها؟ 

ما الامتثال؟ 150,9 هو ضروري؟ وما هي بعض القوانين التي يجب على منظمتك 


الامتثال لها؟ (وللإجابة عن هذا السؤالء اعتبر المنظمة التعليمية التي تدرس فيها 
هي منظمتك في حال & تكن موظفا حاليا). 


ما الفرق بين الامتثال والأمن؟ 

ما الآثار المترتبة على الامتثال لقانون (HIPAA)‏ وذلك فيما يتعلق بأخصائيي أمن 
ا معلومات؟ 

ما الآثار المترتبة على الامتثال لقانون (GLB)‏ وذلك فيما يتعلق بأخصائيي أمن 
ا معلومات؟ 


Y:‏ ما الآثار المترتبة على الامتثال لقانون (FERBA)‏ وذلك فيما يتعلق بأخصائيي أمن 


saigel 

ما الآثار المترتبة على الامتثال لقانون (SOX)‏ وذلك فيما يتعلق بالإدارة العليا 
للمنظمات؟ 

ما الآثار المترتبة على الامتثال لقانون (HIPAA)‏ وذلك فيما يتعلق بأخصائيي أمن 
Sallek‏ 

ما سياسة الاستخدام 3s. ALI‏ 


páa ulus ls 
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ado .YO‏ ما إذا كان يجب اعتبار النص في الفقرة التالية على أنه مبدأ توجيهيء أو المرور 
بالعملية على أنها معيار. علل إجابتك 
«جميع الأنظمة التي تحفظ أرقام الضمان الاجتماعي يجب تسجيلها في إدارة أمن 
ا معلومات». 
أسئلة على نموذج الحالة: 
1. ما أحكام القانون الأمريكي رقم «(a) (2) (B)982»‏ ورقم »1)982( $«(b)‏ 
.Y‏ ما الجرائم التي ارتكبها المهاجمون كما وردت في لائحة الاتهام؟ 
sto .Y‏ على هذا الحادث الأمني» ما التوصيات ذات العلاقة بالسياسات والتي تقترحها 
للشركة لتجنب الأضرار الناتجة عن هجمات مماثلة في ا مستقبل؟ 
نشاط التدريب العملي - صياغة سياسة الاستخدام المقبول :(AUP)‏ 
(من ال مستحسن تشكيل مجموعة من الطلاب لإكمال هذا النشاط). 
قم مع مجموعتك بصياغة سياسة الاستخدام المقبول للحسابات الإلكترونية في جامعة 
ولاية الشمس ال مشرقة. وعند تشكيل تلك السياسة, خذ بعين الاعتبار النقاط التالية: 
.١‏ سيتم تطبيق السياسة على جميع الحسابات الإلكترونية التابعة للطلاب والموظفين 
وأعضاء هيئة التدريس في جامعة ولاية الشمس المشرقة. 
Y‏ يجب أن تتضمن السياسة 2l‏ بالأنشطة الممنوعة على الحسابات الإلكترونية في 
جامعة ولاية الشمس المشرقة. 


.Y‏ يجب أن تتضمن السياسة القوانين و/أو التنظيمات التي تؤثر في الاستخدام المقبول 
لحسابات النظام. 


.٤‏ يجب أن تتضمن السياسة عواقب الانتهاك. 
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وعند الانتهاء مع مجموعتك من صياغة السياسة» احفظها في آلة لينكس الافتراضية كما 
يلي: home/shared/business finanee/information technology/website/it//)‏ 
(policy.html‏ والتي ہکن عرضها على الرابط (http://it.sunshine.edu/policy.html)‏ 

قم بصياغة ملخص للسياسة في ثلاثة إلى أربعة أسطر بحيث يكون مناسباً لتحذير 
المستخدمين عند تسجيل الدخول على النظام واحفظ ا ملخص على الشكل التالي etc//)‏ 
4. وتأكد من تضمين الرابط الإلكتروني للسياسة حتى يتمكن المستخدم من قراءة 
النص الكامل لها. 


إن ملف (etc/motd/)‏ هو ملف «رسالة اليوم» (Message of the Day)‏ وهو ملف نصي 


يتم طباعته للمستخدمين عند تسجيلهم للدخول. وذلك لنقل الرسائل الهامة Jia‏ المبادئ 





افتح نافلة طرفية جديدة وقم باستخدام «خادم القشرة الآمنة» (SSH)‏ لعرض «رسالة 
اليوم»: 


[rootsunshine ~]# ssh alice?sunshine.edu 


النتائج المطلوب تسليمها 
.١‏ نسخة من ملف .(policy.html)‏ 


.(etc/motd) نسخة من ملف‎ .Y 


تمرين التفكير النقدي - المبرمج آرون سوارتز :(Aaron Swartz)‏ 
كان آرون سوارتز lodo (Aaron Swartz)‏ فاهرا للغاية ويحظى باحترام كبير. وعندما 
کان عمره ١6‏ قاف كان sls‏ من المؤسسين لخدمة (RSS)‏ المنتشرة. وهي خدمة تسمح 
للمستخدمين متابعة ال محتوى من مختلف امواقع الإلكترونية. وكان لدى هذا gal‏ رغبة 
جامحة بتجاوز حاجز الرسوم امالية من أجل الحصول على المعلومات. وذلك حتى يتمكن 
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اون من المصول إل العلوهنا lcs‏ واف s OE‏ وال decal‏ ديف 4s‏ 
إلى تحميل محتويات المكتبة الرقمية agw JS 2o JSTOR)‏ وذلك باستخدام شبكة معهد 
ماساتشوستس للتكنولوجيا plg (MIT)‏ بتحميل ما يقارب من EA‏ مليون مقال على 
الرغم من المحاولات المتكررة لمنعه. 

(eol‏ هذا الحادث إلى المحاكمة الجنائية موجب قانون «الاحتيال وإساءة استخدام 
الحاسب (Computer Fraud and Abuse Act) «DI‏ وبطلب من النيابة العامة ذهب 
(Aaron)‏ إلى السجن كجزء من اتفاق مع الادعاء العام. وقد (Aaron) le‏ لفترة طويلة 
من الاكتئاب, وم يكن قادراً على التعامل مع تلك الضغوط حتى عثر عليه ميتا في شقته في 
الثاني عشر من شهر plo‏ من عام Y W‏ وعدت حالة الوفاة هذه حالة انتحار. 

وقد آذك وقاة هذا quotl‏ إل شفقوظ رة عدف إل مزاجعة قانون Joh»‏ وة 
استخدام الحاسب الآلي». وكان المؤيدون لهذا المبرمج مذعورين لأن عبقرياً ك Aaron)‏ 
(Swartz‏ فع إلى اموت ممجرد انتهاكه لسياسات الاستخدام المقبول والاتفاقات التعاقدية 
الأخرى. وقام نائب مدينة (San Jose)‏ ويدعى (Zoe Lofgren)‏ بتأاسيس مشروع قانون 
أطلق عليه اسم هذا ا مبرمج .(Aaroms law)‏ وهنع القانون المقترح الملاحقة القضائية 
موجب قانون «الاحتيال وإساءة استخدام الحاسب الآلي» عند انتهاك سياسات الاستخدام 
المقبول أو انتهاك الالتزامات التعاقدية الأخرى في حال كان الانتهاك الأساس الوحيد في 
تحديد حدوث الوصول غير المصرح. 

كما يرى خبراء آخرون أن جرهة هذا المبرمج م تكن مجرد انتهاك لسياسات الاستخدام 
المقبول فحسب» فقد تغلب هذا المبرمج خلسة على محاولات المكتبة الرقمية (JSTOR)‏ 
ومعهد ماساتشوستس للتكنولوجيا (MIT)‏ لإيقاف التنزيلات المستمرة. ومن ثم فإنه مذنب 
بسبب هذا العرض غير الحقيقي. 


(هناك العديد من المقالات حول (Aaron Swartz) gll‏ على شبكة الإنترنت. وفيما 
يلي المصادر الرئيسية لهذه الحالة) 
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الفصل الثالث عشر 


Schwartz, J. «Internet activist, a creator of RSS, is dead at 26, apparently a 
suicide,» New York Times, 01/12/2013 

Sellars, A. «The impact of 'Aaron's Law on Aaron Swartz's case,» 01/18/2013, 
http://www.dmlp.org/blog/2013/impact-aarons-law-aaron-swartzs-case 
(accessed 07/16/2013) 

Healey, J. «One bit of Aaron Swartz's legacy: Fixing a bad law?» Los Angeles 
Times, 01/16/2013 

Computer Fraud and Abuse Act, http://www.law.cornell.edu/uscode/ 


text/18/1030 (accessed 07/16/2013) 


.١‏ هل تعتقد أن موت (Aaron Swartz)‏ كان بسبب تجاوز الادعاء العام؟ 


Y‏ على فرض abl‏ المُدعي العام في هذه القضيةء هل ستقوم بشيء مختلف؟ على سبيل 
«JULI‏ هل ستقوم بفرض عقوبة مخففة نظرا لمساهمات هذا المبرمج في المجال 
التكنولوجي؟ 


تصميم حالة: 

في أحد الاجتماعات التي ضمت مدققين على مستوى الولاية ومسؤولين من الجامعة, 
dosi o] cale‏ هن as E E‏ لمحيس d$ LI‏ رديوق 
الأجهزة اللوحية والهواتف الذكية بشكل مكثف. وليس ذلك فحسب فقد لاحظت أيضاً 
أنهم يستخدمون تطبيقات (Dropbox)s (Google Drive) Jis‏ لنقل OI‏ من 
جهاز إلى آخر بسهولة. وقد نقلت ملاحظاتك إلى عميد كلية إدارة الأعمال الذي يجلس 
بجانبك في هذا الاجتماع. 

اكتب سياسة glis‏ حفظ بيانات الجامعة باستخدام التخزين الشخصي المعتمد على 
الحوسبة السحابية. ويجب أن تحتوي السياسة على طمحة dale‏ ونطاق» وتعريفات» وبيان 
السياسة» وإلزام التنفيذ. وف الحد الأدنىء خذ بعين الاعتبار النقاط التالية: 
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٠‏ سيتم تطبيق السياسة فقط على كلية إدارة الأعمال. 
e‏ هل الإرشاد العام أن يقوم (أو لا يقوم) المستخدم بحفظ البيانات باستخدام 
تطبيقات الحوسبة السحابية؟ علل إجابتك. 
٠‏ هل هناك أي نوع من البيانات يجب ألا يحفظ إطلاقاً في حسابات الحوسبة السحابية 
الشخصية؟ 
٠‏ هل ستكون إجراءات إلزام التنفيذ لأعضاء هيئة التدريس مختلفة عن إجراءات إلزام 
التنفيذ للطلاب؟ 
وبالإضافة إلى السياسة. لخص شروط الخدمة (Terms of Service)‏ لاثنتين من خدمات 
التخزين السحابية الشخصية. مع الإشارة إلى المشكلات المحتملة التي قد تجلبها هذه 
الشروط للجامعة وللمستخدم متضمنا ذلك المسؤولية ا محدودة. وقيود الجاهزيةء وغيرها. 
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VY 


الفصل الرابع عشر 
تحليل مخاطر تقنية المعلومات وإدارة المخاطر 
نظرة عامة: 


يدمج هذا الفصل معظم المفاهيم التي ناقشناها في الفصول السابقة في إطار شامل 
للتعامل مع أمن اممعلومات. ففي الفصول السابقة اتبعنا منهجا تفصيلياً لمناقشة المفاهيم 
الفردية لأمن المعلومات. لكن في هذا الفصل سنتبع منهجاً شمولياً آخذين في الاعتبار 
تخوفات ا مجتمع والإدارة العليا وعلاقتها بأمن ا معلومات؛ لأن هذه الفئات من المستفيدين 

تكون أقل اهتماما بالتكنولوجيا وأكثر اهتماماً بتقليل الآثار الاقتصادية لأمن المعلومات. 

وتنظم «إدارة مخاطر تقنية ا معلومات» > جميع ال مسائل امرتبطة بأمن ا معلومات. وذلك 

باستخدام مدخلات من خبراء التقنية ٠ es‏ من خبراء الإدارة. 
وتحظى القضايا الهامة للإدارة العليا عادة بالكثير من الاهتمام من جهات عديدة. 

وقد أدى اهتمام الإدارة العليا بإدارة المخاطر إلى ظهور العديد من gòl‏ إدارة مخاطر 

تقنية je E ٣‏ وسنقوم في هذا الفصل بجولة سريعة على هذه النماذج» ثم سنقوم 
المعيارية التي استخدمناها للمفاهيم التي ناقشناها ف الفصول السابقة. وف نهاية هذا 

الفصل يجب أن تعرف: 
ه٠‏ أهمية إدارة ال مخاطر للإدارة العليا. 

es .‏ إدارة مخاطر تقنية تقنية المعلومات. 
٠‏ تحليل المخاطر - التحديد والتقييم. 
o‏ إدارة المخاطر - التقليل من ال مخاطر والاعداد والاستجابة لها. 

ues )١(‏ الرغم من US‏ فقط (0*) إلى (4O)‏ من شركات فورتشن )0٠١ Fortune) 0٠١‏ مستعدة للتعامل مع الأزمات. 
وهذه الشركات المستعدة للأزمات عادة ما تواجه أزمات أقل بنسبة (AYY)‏ وتعيش فترة أطول بنسبة (4V0)‏ ولديها ضعف 
العائد على الأصول وسمعتها أفضل من الشركات غير المستعدة للأزمات والتي تتفاعل مع الأزمات فقط عند حدوثها. 
Mitroff, I. I. and M. C. Alpaslan (2003). «Preparing for evil.» Harvard Business Review)‏ 
(.115-2003(April): 109‏ 


أمن ام معلومات وإدارة مخاطر تقنية المعلومات W۳‏ 


الفصل الرابع عشر 


مقدمة: 

الخطر هو مقياس كمي للأضرار المحتملة الناتجة عن تهديد محدد. وفي الفصول 
السابقة قمنا بإعداد القاعدة المعرفية اللازمة لتحليل وإدارة المخاطر. وفي الفصل السادس 
ناقشنا موضوع التهديدات بالتفصيل. وهكننا البناء على تلك الأفكار في هذا الفصل لمناقشة 
قضية تهم الإدارة العليا - وهي إدارة المخاطر. 

ولأن إدارة المخاطر موجهة من قبل مخاوف الإدارة العلياء سنناقش في هذا الجزء 
التمهيدي موضوع إدارة المخاطر ضمن السياق العام لإدارة ا منظمة. بعد ذلك سنناقش 
نماذج إدارة المخاطر المعيارية الموضوعة من قبل المعهد الوطني للتقنية والمعايير National)‏ 
«(Institute of Standards and Technology‏ وامعرو ف اختصارا | (NIST)‏ لتوجيه 
أنشطة إدارة مخاطر تقنية المعلومات. 


إدارة المخاطر بوصفها عنصرا من عناصر الإدارة التنظيمية: 
يتم تقييم أداء ا منظمة باستخدام مقاييس الربحية. فا منظمات الأكثر ربحية تكون أكبر 
قيمة من تلك المنظمات الأقل ربحية'". وبناءً على ذلك فإن التركيز الرئيسي للمديرين هو 
تعظيم أرباح منظماتهم. ويمكن أن نكتب هذا الاهتمام الإداري على النحو التالي: 
موضوع قرار pabl‏ = تعظيم (الربح) = تعظيم (الإيرادات - التكاليف) 


ويمكن للمديرين إنجاز هذا الهدف عن طريق استخدام مزيج من زيادة الإيرادات 
(عادة عن طريق رفع الأسعار أو بيع ال مزيد من الوحدات) أو عن طريق خفض التكاليف. 
والكثير من أدبيات الإدارة ومعظم المناهج الدراسية لدرجة ماجستير إدارة الأعمال (MBA)‏ 
مخصصة لتوجيه ال مديرين لتحقيق هذه الأهداف. ولكن عند التشغيل اليوميٍ للمنظمات 
يواجه المديرون أشياء غير عادية تحدث في كل وقت» ويؤث ركثير منها PE iot‏ في معادلة 
تعظيم الربح للمنظمة. على سبيل JE‏ لقد رأينا سابقا كيف أن الظروف كلفت شركة 
١١817 Maxx)‏ مليون دولار للتعامل مع تداعيات حادث البطاقات الائتمانية. ويجب أن 
تداق هذه الحوادث بشكل جيد لأنها تؤثر في ربحية ا منظمة. وعلى مستوى عال جدا فإن 


(Y)‏ لا تهدف جميع المنظمات للربحية. اممنظمات غير الربحية مثل الجامعات تمثل قطاعاً کبیا في الاقتصاد. حيث تمثل 
أكثر من “٠١‏ من جميع الوظائف في الولايات المتحدة الأمريكية http://www.urban.org/nonprofits/index.)‏ 
ds (cfm‏ حين أن هذه المنظمات تقيس مخرجاتها باستخدام معايير مثل عدد الطلبة الخريجين وعدد براءات 
الاختراع التي تم الحصول dade‏ فإن هذه المنظمات تهتم tf‏ بالاستخدام الأمثل طواردهاء ويهتم مديرو هذه 
ال منظمات بنفس اهتمامات ا مخاطر التي يهتم بها ال مديرون في ال منظمات الربحية. 
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إدارة التأثيرات المالية للأحداث غير العادية تسمى بإدارة المخاطر. ولتمثيل هذه النقطة 
يمكننا تعديل موضوع قرار المدير على النحو التالي: 

تعظيم (الإيرادات - التكاليف - (A‏ وهذا الرمز A‏ يعني (دلتا) ويشير إلى تأثير الأحداث 
غير العادية في المنظمة'". 

وبشكل عام هناك طريقتان لإدارة المخاطر: (V).‏ جعل المخاطر قابلة (Y) «xU‏ التقليل 
من المخاطر والإعداد لها. 

والطرق العامة لجعل المخاطر قابلة للتنبؤ هي التأمين والتحوط. eas‏ من أهم 
أنشطة القطاع JUI‏ في الاقتصاد. على سبيل ال مثال» شراء تأمين لحماية مركز البيانات الخاص 
بك من الفيضانات يجعل من الأثر المالي لحدّث الفيضان قابلا للتنبؤ والذي يساوي القسط 
السنوي المدفوع لشراء التأمين. وعلى الرغم من أن الفكرة تبدو غير isole‏ إلا أنه يجب 
أن نؤكد اعتبار هذا العنصر عنصرا هاما في إدارة مخاطر تقنية المعلومات. ونحن (مؤلفو 
هذا الكتاب) لسنا خبراء às‏ تصميم وتسعير الأدوات اطالية. لذا فإننا نترك تفاصيل هذه 
الطريقة للخبراء في مجال التمويل. لكن نرغب ف التأكيد على أن الإدارة العليا يجب أن 
تفهم هذه الطريقة جيدا وتأخذها Ulo‏ على محمل الجد. لذا لا ينبغي أن تندهش إذا 
سمعت مصطلح «تأمين» à‏ سياق إدارة مخاطر تقنية ال معلومات. 


وهذا يتركنا مع الطريقة الثانية وهي التقليل من المخاطر والإعداد لهاء وهو ما سنناقشه 
في بقية هذا الفصل. 


تصنيف آخر مثير للاهتمام هو تصنيف الهجوم والدفاع. فجميع الفرق الرياضية لديها مزيج بين 
الهجوم والدفاع. وفي نطاق عملناء تستثمر المنظمات في تقنية المعلومات لتكون وسيلة هجومية 


في المعادلة الربحية لمهاجمةٍ التكاليف والتعقيد أو للمحاربة للحصول على | العملاء في العديد 


ضمان عدم sks‏ الميزة التنافسية الحالية بسبب تطبيقات تقنية المعلومات غير الملائمة ° ©. 





A (Y)‏ يعني دلتا وهو مصطلح من مصطلحات الصناعة يشير إلى الانحراف عن السلوك العادي. 

)€( أحد طلابنا لخص LJ‏ هذه الفكرة بتذكيرنا بالاقتباس التالي «الهجوم يبيع التذاكرء والدفاع يفوز بالبطولات». 

)0( وموضوع آخر ذو صلة هو ضمان الإدارة الجيدة للمخاطر الجديدة التي ls‏ في المنظمة بسبب استثمارات تقنية 
المعلومات. على سبيل «JUL‏ بعض الخسائر اطالية امثيرة للانتباه حدثت بسبب التداول اطالي السريع الذي تم تفعليه 
بواسطة أنظمة تقنية المعلومات. وهذه النقطة أيضا لن نناقشها في هذا الفصل. لكن بالإمكان الاطلاع على مناقشة 
جيدة في s Ll‏ التالي Westerman, G. and Hunter, R. (2007). IT Risk: Turning Business Threats into)‏ 
(Competitive Advantage (Hardcover). Boston, MA, Harvard Business School Press‏ 
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وبعد الاطلاع على هذه الخلفية: بإمكاننا الآن مناقشة نماذج إدارة مخاطر تقنية 
المعلومات والتي تم تطويرها بواسطة المعهد الوطني للتقنية وا معايير NIST)‏ 


الإبلاغ القانوني لعوامل المخاطر بواسطة الإدارة العليا 


ومثال على أهمية إدارة المخاطر للمسؤولين التنفيذيين» هناك قانون elo‏ الشركات المتداولة 
علنا بإبلاغ المساهمين عن عوامل المخاطر التي تواجه الشركة. 

البند (IA)‏ عوامل المخاطر". 

تحت عنوان «عوامل المخاطر»» وحيثما كان مناسباًء gés‏ عوامل المخاطرة المبينة في بند 
(503-c)‏ من اللائحة رقم (S-K 229.503-c)‏ من هذا الفصل والتي تنطبق على المسجل. 
تقديم أي مناقشة لعوامل المخاطر بلغة إنجليزية سهلة وفقا للمادة (421-d)‏ من قانون 
الأوراق المالية ۱۹١١ els)‏ رقم (230.421-d)‏ من هذا الفصل. وشركات الإبلاغ الصغرى ليس 
مطلوبا منها تقديم المعلومات التي يتطلبها هذا البند. 

من قانون رقم (0(229.503-c)‏ عوامل المخاطر للأوراق المالية الصادرة حديثاً تشمل من 
بين الأمور العديدةء ما يلي: (V).‏ عدم وجود تاريخ التشغيلء (Y)‏ عدم وجود عمليات مربحة 


في الفترات الزمنية الأخيرة (Y)‏ الموقف المالي» )£( الأعمال التجارية المقترحة: أو )0( عدم 
وجود سوق للأوراق المالية المشتركة أو الأوراق المالية القابلة للتحويل لممارسات الأوراق 
المالية المشتركة. 


(YNY أكتوين‎ Y) (AAPL 10-K) مثال:‎ 

في التقرير الشامل للأداء (K-V-)‏ لشركة أبل والمقدم في تاريخ (۲۰۱۲/۱۰/۳۱)» من بين عوامل 
المخاطر الأخرى» ذكرت شركة أبل العاملين التاليين والمرتبطين مباشرة بتقنية المعلومات: 
قد تتأثر أعمال الشركة وسمعتها بسبب فشل نظام تقنية المعلومات أو تعطل الشبكة. 

قد تكون الشركة معرضة لاختراقات في نظم تقنية المعلومات التابعة لهاء وهو ما قد يضر 
بشركاء العمل وعلاقات العملاء أو التأثير سلبا في الوصول للخدمات الإلكترونية ومتجر الشراء 
على الإنترنت» كما يمكن أن تتعرض الشركة لعواقب قانونية وتشغيلية ومالية وخيمةء ويمكن 
أن تتعرض أيضا لعواقب تضر بسمعة الشركة. 





(6) http://www.sec.gov/about/forms/form10-k.pdf 
(7) http://www.law.cornell.edu/cfr/text/17/229.503 


(8) http://investor.apple.com/ 
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نماذج إدارة المخاطر: 


النموذج هو هيكل لدعم شيء آخر. ds‏ أدبيات الإدارة تستخدم النماذج عند وجود 
عدد كبير من الأفكار التي تحتاج إلى تنظيم بطريقة يسهل فهمها وحفظها من قبل الكثير 
من الأشخاص. Ga‏ أطر الإدارة تدعم المنظمة وذلك فيما يتعلق بالمفاهيم ذات الصلة 
لتحقيق الأهداف المرجوة. 

وهناك الكثير من النماذج المشهورة لإدارة ا مخاطر متضمناً ذلك نموذج (OCTAVE)‏ 
التابع لمعهد هندسة البرمجيات (SEI)‏ ونموذج )27002 (ISO‏ التابع لمنظمة المعايير الدولية 
والمبادئ التوجيهية في إدارة مخاطر المعلومات والتابعة للمعهد الوطني للتكنولوجيا وا معايير 
(NIST 800- 39)‏ وبالإضافة إلى ذلك فإن الشركات الرائدة مثل شركة مايكروسوفت“ 
وشركة جوجل”" قامتا بإصدار توصياتها الخاصة لإدارة مخاطر أمن ال معلومات. وجميع 
هذه المبادئ التوجيهية تقدم أفكاراً متشابهةء كما تمثل تلك المبادئ نتائج للجهود الجماعية 
لأفضل العقول في هذه الصناعةء وذلك لإدارة مخاطر تقنية المعلومات. وأي من هذه 
المبادئ التوجيهية يُعد أساساً ممتازاً لوضع خطة إدارة المخاطر في المنظمة. 


من المستحسن اعتماد واحد من نماذج إدارة المخاطر الموحدة وذلك لوضع خطة إدارة 
المخاطر مع إجراء التعديلات الخاصة بسياق المنظمة. وعموما فإن وضع خطة لإدارة المخاطر 
من الصفر يُعد فكرة سيئةء لأنه من المحتمل جدا نسيان العديد من الموضوعات المهمة 


والتي ستكتشفها بتكلفة كبيرة على المنظمة» وذلك حينما يكشف أحد التهديدات ذلك 
الإهمال في نموذج إدارة المخاطر. وقد يكون من الحكمة أن نتذكر قول بنيامين فرانكليز 
(Benjamin Franklin)‏ في هذا الشأن «الخبرة مدرسة ثمينة: إلا أن الحمقى ليس لهم طريقة 


أخرى للتعلم». 





ونفضل في هذا الكتاب أن نستعرض أفكارنا بطريقة متناسقة عبر الفصول لأن هذه 
الطريقة تسهل الفهم والتذكر. وقد وجدنا أن المبادئ التوجيهية التابعة للمعهد الوطني 
للتكنولوجيا والمعايير )39 -800 (NIST‏ هي الأنسب لهذا الغرض لأنها متوافقة جداً مع 
http://technet.microsoft.com/en-us/library/cc163143.aspx‏ )9( 


(10) https://cloud.google.com/files/Google-CommonSecurity-WhitePaper-v1.4.pdf 
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الطريقة التي عرضنا بها المعلومات في الفصول السابقة. clas‏ على ذلك Siu‏ على هذه 
المبادئ التوجيهية فيما تبقى من هذا الفصل. كما قمنا بدمج العديد من الأفكار التي 
ناقشناها في الفصول السابقة (مثل نموذج المخاطر ودورة حياة الكوارث) في نموذج إدارة 
المخاطر التابع للمعهد الوطني للتكنولوجيا وا معايير. وللتأكد من اكتمال SSAI‏ سنعرض 
ممحة سريعة عن بقية النماذج الشائعة في نهاية هذا الفصل. 


نموذج إدارة المخاطر التابع للمعهد الوطني للتقنية والمعايير )800-39 (NIST‏ 


أصدر المعهد الوطني للتقنية والمعايير توصياته الخاصة بإدارة مخاطر أمن المعلومات 
في إصدار خاص رقم .')۳۹-۸٠١(‏ ويرجع تاريخ الإصدار الحالي إلى شهر مارس من عام 
.٠١‏ وهذه الممبادئ التوجيهية تم تطويرها من خلال مدخلات من المجتمع الاستخباراق 
والدفاعي (alls‏ وذلك لتقديم نموذج أمن المعلومات للحكومة الفيدرالية. وهذه المبادئ 
التوجيهية (وكذلك النقاش في هذا الفصل) dele‏ جدا ولا تهتم با موضوعات المحددة التابعة 
لبيئات أمنية عالية مثل القواعد العسكرية أو القوانين الخاصة مثل قانون (HIPAA)‏ 
وهذه البيئات تستخدم إجراءات jsi‏ صرامة من تلك المقترحة .(NIST 800 -39( à‏ لكن 
نموذج )39 -800 (NIST‏ مفيد جداً لغالبية المنظمات التجارية وا منظمات غير الربحية 
ومن ثم فإن هذا النموذج مناسب لأغراض هذا الكتاب. وإذا كنت تعمل في بيئة أمنية 
عالية مثل قاعدة عسكرية أو بنك فإن المنظمة ستقدم لك مبادئ توجيهية إضافية لإدارة 
المخاطر الخاصة بتلك البيئة. 


ويمكن تعريف مخاطر تقنية المعلومات بأنها المخاطر المرتبطة باستخدام نظم ال معلومات 
في المنظمة. وهذا واحد من العديد من المخاطر التي تواجه ا منظمة. ويؤكد ا معهد الوطني 
للتقنية والمعايير (NIST)‏ على أن إدارة ا مخاطر ليست EF‏ دقيقاء بل هي أفضل حكم 
جماعي من الأشخاص في الرتب والوظائف حول التدابير المناسبة لحماية المنظمة. ويوصي 
نموذج )39 -800 ob (NIST‏ تشارك الإدارة العليا في إدارة مخاطر تقنية ال معلومات» وأن 


يتم دمج مخاطر إدارة مخاطر تقنية المعلومات في تصميم عمليات Ai‏ 


(11) http://csrc.nist.gov/publications/nistpubs/800-39/SP800-39-final.pdf (accessed 12/20/2012) 


http://dangerouslyirrelevant.) المدارس‎ Joub [ra رابط عن مخاطر تقنية ال معلومات وهو مفيد‎ (12) 
Appeared in Bruce .(2013/22/26-internet-safety-talking-points.html (accessed 07/08/0rg/2012 
(2012/15/Schneier's blog, 9 
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تحليل مخاطر تقنية المعلومات وإدارة ا مخاطر 
عناصر إدارة مخاطر تقنية المعلومات: 


يحدد نموذج )800-39 (NIST‏ أربعة عناصر لإدارة مخاطر تقنية المعلومات - (V)‏ 
إطار المخاطر, (Y)‏ تقييم المخاطر, (Y)‏ الاستجابة للمخاطر بعد تقييمهاء )£( المراقبة 
المستمرة ele‏ اعمادا علق col asd!‏ المكتسة :من أتقطة الاتحابة للمخاطر: وهدة 
العناصر مرتبة كما هو في الشكل .)1-١6(‏ 


الشكل :(Y-V€)‏ نموذج )39- 800 (NIST‏ لإدارة المخاطر 





إطار المخاطر يحدد السياق لإدارة المخاطر من خلال وصف البيئة التي يتم فيها اتخاذ 
القرارات على أساس المخاطر. وهذا يوضح لجميع الأعضاء في ا منظمة معايير المخاطر 
المختلفة والمستخدمة في المنظمة. وتشمل هذه المعايير ما يلي: )١(‏ افتراضات حول 
ا مخاطر التي تعد (Y) dise‏ الاستجابة التي تعد عمليةء (Y)‏ مستويات المخاطر التي تعد 
CE) gs‏ الأدلو يناف aes Gals‏ الاب olo‏ تحاطو و إطار bl‏ دد اشا 
المخاطر التي يتم إدارتها من قبل القادة/ المديرين التنفيذيين. 


وفي مثال تقليدي لإطار المخاطر الذي تم تسليط الضوء عليه خلال المناقشات الرئاسية عام 
۲ هو وجود إشارة واحدة فقط للإرهاب في خطاب رئيس الولايات المتحدة للشعب 
الأمريكي عام .۲٠١٠‏ وفي العام التالي» أي بعد هجمات V3‏ كان هناك Y‏ إشارة للإرهاب 
في خطاب رئيس الولايات المتحدة للشعب الأمريكي عام Y Y‏ 


ألا يعد ذلك تغيراً واضحاً في إطار المخاطر للجناح التنفيذي في حكومة الولايات المتحدة 
الأمريكية خلال عام واحد فقط؟ 





أمن المعلومات وإدارة مخاطر تقنية المعلومات VAS‏ 


الفصل الرابع عشر 


وفي سياق إطار ال مخاطرء تعمل polie‏ تقييم ال مخاطر على تحديد جميع المخاطر التي 
تواجه المنظمة وتجميعها. وكما تذكر فقد عرفنا ا مخاطر بأنها مقياس كمي للضرر dao]‏ 
من التهديد. ويقوم تقييم المخاطر بتطوير تلك التقديرات الكمية من خلال التعرف 
على التهديدات والثغرات والضرر على المنظمة في حال استغلت التهديدات تلك الثغرات. 
وسنناقش تقييم المخاطر بمزيد من التفصيل في الجزء التالي. 

Ul‏ الاستجابة للمخاطر فتتناول كيفية استجابة ال منظمات للمخاطر مجرد تحديدها 
بواسطة تقييم المخاطر. وتساعد الاستجابة للمخاطر في تطوير استجابة متسقة على مستوى 
ا لمنظمة والتي بدورها تكون متسقة مع إطار المخاطر. وباتباع إجراءات العمل الموحدة, 
تتكون الاستجابة للمخاطر مما يلي: )١(‏ وضع مسارات بديلة للعمل من أجل الاستجابة 
للمخاطر, (Y)‏ تقييم تلك المسارات (Y) ibad)‏ اختيار مسار العمل المناسبء )€( تنفيذ 
الاستجابة للمخاطر اعتمادا على مسار العمل الذي تم اختياره. 


ويعمل عنصر مراقبة المخاطر على تقييم فاعلية خطة إدارة ا مخاطر للمنظمة مع مرور 
الوقت. وتشمل مراقبة المخاطر على ما يلي: )١(‏ التحقق من تنفيذ تدابير الاستجابة 
للمخاطر المخطط لهاء (Y)‏ التحقق من أن الاستجابة المخطط لها تلبي المتطلبات المستمدة 
من رسالة المنظمة ووظائف العمل واللوائح والمعاييرء (Y)‏ تحديد فاعلية تدابير الاستجابة 
للمخاطرء )£( تحديد التغييرات المطلوبة في خطة إدارة ال مخاطر نتيجة للتغييرات في 
التكنولوجيا وبيئة العمل. 

والأسهم في الشكل )١-١5(‏ توضح عمليات إدارة المخاطر وتدفق المعلومات والتواصل 
بين عناصر إدارة المخاطر. والأنشطة الموضحة في الدوائر الخارجية يتم تنفيذها بالتتابع» 
وذلك بالانتقال من تقييم المخاطر إلى الاستجابة للمخاطر إلى مراقبة المخاطر. أما إطار 
ا مخاطر فيعمل على تغذية جميع الأنشطة المتتابعة خطوة بخطوة. على سبيل «JULI‏ 
التهديدات المحددة من إطار المخاطر تكون بمثابة مدخلات لنشاط تقييم المخاطر. وبا مثل 
فإن مخرجات paie‏ تقييم المخاطر تكون بمثابة مدخلات لعنصر الاستجابة للمخاطر" . 
(Y)‏ تحتوي وثيقة نموذج )800 (39-NIST‏ على أسهم o E‏ كل مكان ق المكل كنا امنيا KE‏ 


موجهة لربط الدوائر الخارجية. ونعتقد أن ذلك يوضح بشكل أفضل طبيعة الأنشطة المتتابعة وتدفق ا معلومات 
من تقييم المخاطر إلى الاستجابة إلى اطراقبة. 


VY.‏ أمن المعلومات وإدارة مخاطر تقنية ا معلومات 


وبمجرد أن يتم وضع إطار المخاطر, مكننا أن نصمم besos‏ لتقييم ا مخاطر اعتماداً على 
نموذج التهديد الذي صُمم سابقا. 


إزالة الغموض عن تقييم المخاطر وتحليل المخاطر 


يحتوي عنصر تقييم المخاطر في نموذج )800-39 (NIST‏ على نشاطين وهما: تحديد 
المخاطر وقياس هذه المخاطر. وما يُطلق عليه «تقييم المخاطر» في هذا النموذج يُطلق 


عليه أيضا «تحليل المخاطر». حيث تشير عبارة «تقييم المخاطر» إلى الجانب الكمي من 
عنصر تقييم المخاطر في نموذج )800-39 (NIST‏ ويساعد السياق في إزالة الغموض عن 


معنى عبارة «تقييم المخاطر». 





نموذج تقييم المخاطر: 

يوضح الشكل (Y-V£)‏ نموذج التهديد الذي ناقشناه Ais‏ والتهديدات تشمل الوسطاء 
المحفزين الذين يهاجمون الأصول. ولا نقوم عادة بإجراء تحليل رسمي للنتائج ا محتملة 
للتهديد أثناء إجراء تحليل التهديدات» فاهتمامنا خلال التحليل يقتصر على تحديد 
ا مشكلات ال محتملة. 


الشكل :(Y-V€)‏ نموذج التهديدات 


على سبيل ا مثال» أحد التهديدات المحددة هو قرصان حاسب عن بعد (وسيط) يحاول 


اختراق قاعدة بيانات eas Laud‏ الخاصة ببيانات الاعتماد (أصل) بواسطة سرقة بيانات 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات ۷۱ 


الفصل الرابع عشر 
الاعتماد تلك (نشاط). وخلال تحليل التهديدء لا ننظر إلى الأثر ا محتمل iE‏ هذا التهديد. 
وعلى وجه التحديد» نحن لا نقلق بشأن ما قد يفعله قرصان الحاسب مثل تلك المعلومات. 


ويمكن أن يُنظر إلى تقييم المخاطر b‏ إضافة تحليل النتائج إلى التهديدات التي تم 
تحديدها. وتعريفنا للمخاطر بأنها مقياس كمي للضرر المحتمل الناتج عن تهديد محدد 
يمكن أن يكتب على النحو التالي: 

ال مخاطر = الضرر الناتج عن تهديد محدد أو 

المخاطر = الضرر (التهديد)» معنى أن المخاطر هي الضرر كمخرجات لدالة مدخلاتها 


التهديد 
ولأن التهديد بذاته يتكون من وسيط ونشاط وأصلء همكننا LLS‏ معادلة ال مخاطر على 


المخاطر = الضرر (الوسيطء النشاط الأصل) 

وهذا موضح à‏ الشكل .(Y-Y€)‏ ومکكننا استخدام هذا الشكل لتحديد ال مخاطر وكتابتها 
على شكل عبارات تحتوي على جميع ال معلومات اللازمة لنقل ا معلومات عن ال مخاطر 
للأطراف اللعنية. ورجوعا JEL‏ تهديد قرصان الحاسب الذي سرق بيانات اعتماد المستخدم 
نستطيع كتابة المخاطر المرتبطة بهذا المثال على النحو التالي: 

خطر :١‏ قرصان حاسب عن بعد (وسيط) قد يسرق (نشاط) بيانات اعتماد (أصل) 
ويستخدم تلك البيانات للوصول إلى المواقع الإلكترونية للبنوك (نشاط). وهذا قد يؤدي إلى 
دعوى قضائية والتي تستنزف الأموال وكذلك وقت الإدارة (ضرر). 

خطر :Y‏ قرصان حاسب عن بعد (وسيط) قد يسرق (نشاط) بيانات اعتماد (duel)‏ 
ويستخدم تلك البيانات للوصول إلى المواقع الإلكترونية للبنوك (نشاط). وهذا قد يؤدي إلى 
السمعة السيئة والتي قد تضر أعمالنا على المدى القصير (ضرر). 

وبعبارة أخرى فإن التهديد نفسه قد يرتبط بمخاطر متعددة إذا كان التهديد يمكن أن 
يسبب أشكالا متعددة من الضرر. 


VY‏ أمن المعلومات وإدارة مخاطر تقنية ا معلومات 


الشكل :(Y-V€)‏ تموذج تقييم ال مخاطر 


ويوضح نموذج تقييم المخاطر في الشكل )"-١5(‏ أن مجموعة صغيرة من الأصول والوسطاء 
قد تؤدي إلى عدد كبير من التهديدات والمخاطر. على سبيل المثالء إن مزيجا بين اثنين 
من الوسطاء (مهاجم عن بعد وموظف ساخط) واثنين من الأصول (أصول معلوماتية وأصول 


الأجهزة) قد تؤدي إلى أربعة تهديدات محتملة. وإذا أضفنا اثنين من الأضرار إلى هذا المزيج 
(الخسارة المالية» وفقدان المعلومات) يصبح لدينا ثمانية مخاطر محتملة للنظر فيها. وفي 
العالم الحقيقي فإن أصغر الأعمال تتعامل مع عشرات من الأصول والوسطاء (والتي يمكن 
أن تكون مدفوعة بدوافع متعددة) والأضرار التي قد تؤدي إلى عشرات الآلاف من المخاطر 
المحتملة (هذا إذا ضربنا أعداد الوسطاء والأصول والأنشطة والأضرار في بعضها فقط). لكن 
معظم المنظمات يمكنها التعامل في أي وقت من الأوقات مع O‏ إلى ٠١‏ مخاطر فقط. وهذا 
هو سبب أهمية إطار المخاطر - لاستبعاد المخاطر غير المحتملة. 





وبمجرد تحديد المخاطر يمكن وضع التدابير الكمية للمخاطر عن طريق تقدير احتمال 
الأضرار المتوقعة عند حدوث المخاطر. ويممكننا بعد ذلك حساب المخاطر كحاصل ضرب 
ibas‏ الضرر فق MS olg  :نرضلا Jada‏ لقال قراضنة الحاسي «oL adl‏ لنفرض أن 
تقدير احتمالية الهجوم في السنة القادمة يساوي .)<١(‏ وللخطر Y‏ أعلاهء نقدر الأضرار 
النقدية من خسارة المبيعات ب ٠١‏ آلاف دولار في الأرباح. ويمكننا قياس الخطر في هذه 
الحالة على النحو التالي: 

الخطر = احتمالية الضرر x‏ مقدار الضرر = ٠٠١ = ٠١,٠٠١ X s‏ دولار 


ومن خلال تطوير تقديرات مماثلة لجميع المخاطر التي تم تحديدها يمكننا ترتيب 
أولويات المخاطر ضمن إطار المخاطر. 


أمن المعلومات وإدارة مخاطر تقنية المعلومات يف 


الفصل الرابع عشر 


نماذج إدارة المخاطر الأخرى: 

يعد نموذج )39 - 800 (NIST‏ نموذجاً Lole‏ جداً لإدارة مخاطر تقنية المعلومات. ومن 
بين نماذج إدارة مخاطر أمن المعلومات الأكثر انتشارا نموذج (OCTAVE)‏ التابع ممعهد 
هندسة البرمجيات (SEI)‏ ونموذج )27002 (ISO‏ التابع لمنظمة ال معايير الدولية. وهناك 
العديد من الشركات الاستشارية التي تساعد ال منظمات على تنفيذ توصيات هذه als]‏ 
ولاستكمال هذه الفكرة نعرض في هذا القسم dox‏ موجزة عن اثنين من هذه ال معايير. 
سلسلة )27000 :(ISO‏ 


قامت منظمة المعايير الدولية «International Standards Organization)‏ أو 
اختصاراً (ISO)‏ بتخصيص سلسلة المعايير )27000 (ISO‏ (أي المعايير التي تبدأ بالرقم (YV‏ 
لفسؤون أمن المعلومات: واعتبارا من ههر ead?‏ من عام ۳-١١‏ تضمنت odas‏ السلسلة 
ستة معايير تبدأ من معيار )27001 (ISO‏ وتنتهي معيار )27006 (ISO‏ وهذه المعايير 


تغطي الموضوعات التالية: 
:(ISO 27001)‏ المعيار الذي يحدد متطلبات نظام إدارة أمن المعلومات والمعروف 
اختصارا (ISMS)‏ 


(ISO 27002)‏ المعيار الذي يحدد مجموعة الضوابط المطلوبة لتلبية المتطلبات 
المحددة في معيار )27001 (ISO‏ 


:(ISO 27003)‏ معيار يقدم توجيهات لتنفيذ نظام إدارة أمن المعلومات (ISMS)‏ 

:(ISO 27004)‏ معيار يقدم القياس وا مؤشرات لنظام إدارة أمن المعلومات (ISMS)‏ 

:(ISO 27005)‏ معيار لإدارة مخاطر أمن المعلومات. 

:(ISO 27006)‏ المعيار الذي يقدم مبادئ توجيهية لاعتماد المنظمات التي تقدم 
شهادة نظام إدارة أمن المعلومات. 


vyg‏ أمن المعلومات وإدارة مخاطر تقنية ا معلومات 


وينص معيار (27001 150) على تبني نهج العمليات لتنفيذ أمن المعلومات. 
وجميع العمليات تتبع نموذج :(Deming's model) e»‏ خطط نفذ. افحص» 
استجب .(Plan-Do-Check-Act)‏ خلال مرحلة التخطيط تقوم ال منظمة بصياغة 
السياسات والإجراءات لإدارة مخاطر المعلومات. ويتم تشغيل هذه الإجراءات في مرحلة 
التنفيذ. أما في مرحلة الفحصء فيتم قياس أداء العملية ومقارنتها Le‏ يقابلها من المواصفات 
المخطط da‏ ومن ثم عرضها على الإدارة للمراجعة. وفي مرحلة الاستجابة. تستخدم نتائج 
ا مراجعة لتحسين السياسات والإجراءات في مرحلة التخطيط من الدروة التالية. 

وقد تكون لاحظت أوجه الشبه بين معيار )39 -800 (NIST‏ ومعيار )27001 (ISO‏ 
حيث تتفق مرحلة التقييم في معيار (NIST)‏ مع مرحلة التخطيط في معيار (ISO)‏ وتتفق 
مرحلة الاستجابة في ال معيار الأول مع مرحلة التنفيذ في المعيار الثاني» وكذلك تتفق مرحلة 
المراقبة من معيار (NIST)‏ مع مرحلتي الفحص والاستجابة من معيار (ISO)‏ 

أما معيار )27002 (ISO‏ فيوثق مجموعة من التقنيات الأمنية والتي تتفق مع الضوابط 
التي ناقشناها في هذا الكتاب. وهذه الضوابط مقسمة للأقسام التالية: (Y)‏ إدارة الأصولء 
(Y)‏ أمن الموارد البشريةء (Y)‏ الأمن المادي والبيئيء (E)‏ إدارة العمليات والتواصلء )6( 
التحكم في الوصولء (V)‏ حيازة نظم المعلومات وتطويرها وصيانتهاء Bla] (V)‏ حوادث أمن 
المعلومات. (A)‏ إدارة استمرارية الأعمالء )3( الامتثال'. 

ويحدد معيار )27005 (ISO‏ أن عملية إدارة مخاطر أمن المعلومات تتكون من سبع 
خطوات متتابعة: (1) إنشاء السياق» )2( تقييم المخاطرء )3( معالجة المخاطرء )4( قبول 
المخاطر )5( تنفيذ خطة علاج ا مخاطر, (6) مراقبة المخاطر ومراجعتهاء )7( تحسين عملية 
إدارة المخاطر. وباتباع توصيات نموذج - خططء نفذ. افحص» استجب في معيار ISO)‏ 
27001( فإن خطوات معيار )27005 (ISO‏ تتفق مع مراحل نموذج دهنج الأربع كما هو 
موضح في الجدول (1-14). 


(VE)‏ ناقشنا باختصار في هذا الكتاب موضوع إدارة استمرارية الأعمال. ويرجع ذلك إلى معظم خريجي الجامعات الجدد 
يكون لديهم مسؤولية محدودة جدا عن استمرارية الأعمال. ولقد اخترنا أن نحافظ على تركيزنا على موضوعات أمن 
المعلومات الأكثر ملاءمة لخريجي الجامعات ولفترة 0-6 سنوات الأولى بعد التخرج. 


أمن المعلومات وإدارة مخاطر تقنية المعلومات vyo‏ 


الفصل الرابع عشر 


وكما ترى فهناك تداخل كبير بين توصيات معيار (ISO)‏ ومعيار (NIST)‏ من حيث 
صلتها بأمن المعلومات. 


الجدول :(Y-V€)‏ التوافق بين polis‏ عملية إدارة نظام أمن المعلومات معيار )27001 (ISO‏ وعناصر 
عملية إدارة مخاطر أمن المعلومات (ISO 27005) jush‏ 


مراحل عملية إدارة نظام أمن المعلومات مراحل عملية إدارة مخاطر أمن المعلومات 





(OCTAVE) نموذج‎ 


تستضيف جامعة كارنيجي ميلون (Carnegie Mellon)‏ معهد هندسة البرمجيات 
(Software Engineering Institute)‏ المشهور وال معروف اختصاراً .(SEI)‏ وهذا ال معهد 
الممول اتحادياً أخذ على عاتقه على مر السنين الإشراف على التنسيق في مختلف الأنشطة 
المهمة لصناعة البرمجيات. ولقد بدأ المعهد ذلك من خلال وضع المبادئ التوجيهية ال موصى 
بها لتحسين عملية تطوير البرمجيات. وفي السنوات الأخيرةء أخذ المعهد القيادة في مجال أمن 
المعلومات والحفاظ على المستودع الرئيسي لتقارير الأخطاء الصادرة من موردي البرمجيات 
الرئيسيين. وأحد مبادرات هذا المعهد البارزة هي منهجية (OCTAVE)‏ لإدارة أمن 
المعلومات. (OCTAVE)s‏ هي اختصار لعبارة Operationally Critical Threat, Asset;)‏ 
(Vulnerability Evaluation‏ والتي تعني «التقييم العملي والحاسم للثغرات والأصول 
والتهديدات». وتتفق هذه المنهجية مع مرحلة تقييم ال مخاطر في نموذج )39 -800 NIST‏ 
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ووصف منهجية (OCTAVE)‏ الوارد أدناه اعتمد على اللمحة العامة الموجودة في الموقع 
الإلكتروني لمعهد هندسة البرمجيات7". 

وقد تم تطوير منهجية (OCTAVE)‏ للمنظمات الكبيرة ٠٠٠١(‏ موظف أو أكثر). وهذه 
المنظمات في الغالب تملك بنية تحتية لتقنية ا معلومات» كما تملك القدرة على إدارة عمليات 
أمن ال معلومات الخاصة بها. وتعتمد منهجية (OCTAVE)‏ على ثلاث مراحل لفحص 
الموضوعات التقنية والتنظيمية مما يعطي صورة شاملة عن احتياجات أمن المعلومات 
للمنظمة. والمراحل الثلاث هي: 
مرحلة :١‏ تحديد الأصول الحرجة وتحديد التهديدات على تلك الأصول. 
مرحلة ؟: تحديد الثغرات التنظيمية والتقنية وا معرضة لتلك التهديدات والتي تشكا 

خطرا على اللنظمة. 
مرحلة :Y‏ وضع إستراتيجية حماية قانئمة على الممارسات ووضع ihò‏ لتقليل المخاطرء وذلك 
لدعم رسالة المنظمة وأولوياتها. 

وتتضمن منهجية (OCTAVE)‏ سلسلة من ورش العملء يتم تنفيذها إما على أيدي 
خبراء من الخارج أو من خلال فريق تحليل متعدد التخصصات يتضمن IY‏ 0 من أفراد 
المنظمة. وهذه المنهجية تستفيد من المعرفة ال موجودة في المستويات المتعددة للمنظمة. 
وتكون هذه الأنشطة مدعومة بالممارسات الجيدة وال معروفة, ومدعومة كذلك بالدراسات 
الميدانية وأوراق العمل التي يمكن أن تستخدم لاستنباط ا معلومات خلال جلسات حل 
ا مشكلات والنقاشات اممركزة. 

وكما لاحظت هناك توافق كبير بين نموذج (OCTAVE)‏ ونماذج إدارة مخاطر أمن 
المعلومات الأخرى والتي ناقشناها سابقا )27000 NIST 800- 39, ISO‏ 

ضوابط تقنية ال معلومات العامة للامتثال لقانون :(Sarbanes-Oxley)‏ 

إلى الآن ناقشنا في هذا الفصل نماذج عامة لإدارة مخاطر أمن المعلومات والتي يمكن 
استخدامها في مجموعة واسعة من الصناعات. وفي حين أن هذه النماذج مفيدة في معظم 

(15) http://www.cert.org/octave/octavemethod.html (accessed 12/28/2012) 
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الفصل الرابع عشر 


CIL‏ إلا أن هناك متطلبات قانونية محددة لمنهجيات إدارة مخاطر تقنية المعلومات 
تظهر في حالات المخاطر العالية جدا. وأحد تلك الحالات إعداد التقارير المالية في الشركات 
المطروحة للتداول العام. وهذا السياق أصبح دافعاً كبيراً لتوظيف خريجي أمن المعلومات 
الجدد في العقد الأخير من الزمن. كما أن هذا السياق أدخل مصطلحات في قاموس أمن 
ا معلومات مثل قانون (Sarbanes- Oxley)‏ أو اختصاراً (SOX)‏ > وقسم Y‏ و £t‏ 
والضوابط dall]‏ وضوابط تقنية المعلومات العامة. ونظراً لهذه الأهمية ستقدم لمحة 
عامة عن هذا السياق في هذا الجزء. 


قانون (Sarbanes-Oxley)‏ لعام ۳ 


في السنوات الأخيرة من القرن العشرين» شهدت أمريكا أشهر موجة لارتفاعات 
الأسهم في التاريخ «JU.‏ فقد cool‏ فرص الأعمال على الإنترنت بالمستثمرين إلى المزايدة 
على أسعار أي شركة مرتبطة بالإنترنت. وغرفت هذه الظاهرة ب «فقاعة الدوت كوم» 
.(dot-com boom)‏ ولذا طور المحللون مقاييس لتبرير تلك الأسعار المرتفعة مثل مقياس 
per eyeball)‏ 04011315). وقد کان الاستثمار في بعض الشركات يعد ls‏ على الرغم 
من أن أسعار أسهمها قد بلغت أضعاف دخلها السنوي. وبلغ تقييم تمن بعض الشركات 
خلال ذلك الوقت مليار دولار دون تحقيق أي آرباح» والكثير من الشركات بلغ تقييم ثمنها 
أكبر بمائة مرة من أرباحها السنوية. وفي المراحل الأخيرة من هذا الجنونء وعندما بدأ 
الناس يتساءلون عن هذه التقييمات العالية وأصبحت الشركات تحت ضغوط لتبرير أسعار 
أسهمهاء قام بعض المديرين التنفيذيين في بعض الشركات المعروفة بتزوير حساباتهم إما 
لإظهار مبيعات مم تحدث في الواقع (شركة (MCI- Worldcom‏ أو لإخفاء التكاليف (شركة 
(Enron‏ والعديد من هؤلاء المديرين التنفيذيين حقق مصالح شخصية من ذلك التزوير. 


وعندما جاءت هذه الحالات إلى المحاكمة., vl.‏ قادة تلك الشركات قيامهم بأي ذنب» 
واعتمدوا على حجة NER el‏ البيانات اطالية اعتمادا à‏ امقام الأول Je‏ موظفي ا محاسبة 
وامراجعين. وقد ادعى هؤلاء القادة بأن عمليات الشركات معقدة خذا بحيث يستحيل 
بالنسبة لهم معرفة جميع جوانب البيانات المالية. ومع ذلك» كان خبراء الإدارة والجمهورء 
وا مشرعين على قناعة بأن هؤلاء القادة يعرفون بالضبط ما كانوا يفعلون وكانت ادعاءاتهم 
بالجهل محاولة لمجرد استغلال الثغرات القانونية وتجنب العقوبات. 
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وهذه المحاكمات سلطت الضوء على نقطتين من التفاصيل الهامة لسوق الأوراق امالية. 
النقطة الأولى هي أن استثمار تقاعد معظم الأمريكان كان مرتبطاً ارتباطاً وثيقاً بسوق 
الأمهم لأن معظم صناديق التقاعد Y‏ خيار لها سوى أن تستثمر معظم أصولها في سوق 
الأسهم في الولايات المتحدة لتحقيق sal‏ المطلوب ولمساعدة الأشخاص على التقاعد بأمان. 
فعندما قامت الشركات الكبرى مثل شركة (Enron)‏ وشركة (MCI-Worldcom)‏ بالتلاعب 
بقوائمها JU‏ ومن ثم انهارت في نهاية المطاف. أدى ذلك إلى ضرر أصول التقاعد لكل 
عامل أمريي (rr‏ النقطة الثانية هي أن قادة الشركات كان بإمكانهم القيام بالمزيد من 
ا مخالفات في شركاتهم من خلال التوجيهات الشفهية والضمنية والتي ERAR dli‏ 
ose‏ استخدامه أثناء المحاكمات. 


وتحت الضغط الكبير لاتخاذ الإجراء المنااسبء أصدر مجلس النواب الأمريكي قانون 
ساربينز أوكسلي à (Sarbanes-Oxley)‏ عام "vr Yey‏ هذا القانون باسم اثنين من 
رعاته الأساسيين وهما: السيناتور (Paul Sarbanes)‏ والنائب (Michael G. Oxley)‏ 
ويشير نمط التصويت على الدعم التشريعي الكبير في الوقت الذي أصدر فيه هذا القانون 
حيث حصل هذا القانون على EYY‏ صوت من EFE‏ من الأصوات الممكنة في البيت الأبيض» 
كنا oa Ugo 3A ule diam‏ * 1 فخ الأضؤات dE ode AS‏ 


ساربينز أوكسلي - أحكام هامة: 

من وجهة نظر قانونية, هناك تأثير واحد رئيسي على القانون. فالقسم (Y*Y)‏ والقسم 
)353( وضعا أحكاماً جنائية جديدة تجعل اطمديرين التنفيذيين وا مديرين اطاليين في الشركات 
المطروحة للتداول العام مسؤولين مسؤولية جنائية عن أي بيانات غير صحيحة في الأوراق 
الرسمية. ويصبح بذلك المديرون التنفيذيون وامديرون الماليون مسؤولين بشكل شخصي 
عن صحة المعلومات الممالية الواردة في الأوراق الرسمية. وقبل صدور قانون ساربينز أوكسلي 
(Sarbanes-Oxley)‏ كان يجب على النيابة العامة أن تقوم بإثبات وجود النية الخبيثة 
للبيانات غير الصحيحة حتى يمكن اعتبار ذلك جرهة جنائية. وللاطلاع نرفق أدناه الأحكام 
ذات الصلة من هذا القانون. 
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الفصل الرابع عشر 


مستند )1-١6(‏ | مقتطفات من قسم ۳۰۲ من قانون ساربينز أوكسلي 


)1( التنظيمات المطلوبة - تتطلب الهيئة من كل شركة تقديم تقارير دورية بموجب مادة 
(hw)‏ أو )310( من قانون الأوراق المالية لعام 1576 رقم )15 (U.S.C. 78m, 780 (d‏ 
وأن المسؤول التنفيذي الرئيسي أو المسؤولين والمسؤول المالي التنفيذي أو المسؤولين أو 
الأشخاص الذين يؤدون وظائف مماثلة يتعهدون في كل تقرير سنوي أو ربع سنوي يُقدم في 
إطار هذا القانون بما يلي: 

(V)‏ أن يقوم المسؤول عن التوقيع بمراجعة التقرير. 

(Y)‏ اعتماداً على معرفة المسؤولء ألا يتضمن التقرير أي تصريحات غير صحيحة لواقعة مادية 
أو تجاهل لواقعة مادية تكون ضرورية لإصدار التصريحات» في ضوء الظروف التي قدمت فيها 
تلك التصريحات» وألا تكون تلك التصريحات مضللة. 


(") اعتماداً على معرفة المسؤولء أن تكون التصريحات ÀJI‏ وغيرها من المعلومات المالية 


الواردة في التقريرء تظهر بصورة عادلة ومن جميع النواحي الجوهرية الحالة المالية ونتائج 
العمليات لمحرر الأوراق التجارية وفقا للفترات الزمنية المعروضة في التقرير. 


)€( المسؤولون عن التوقيع: 

)1( مسؤولون عن تأسيس وحفظ الضوابط الداخلية. 

(ب) يقومون بتصميم تلك الضوابط الداخلية لضمان أن المعلومات الجوهرية المتعلقة بمحرر 
الأوراق التجارية وشركاته الفرعية تكون معروفة لدى هؤلاء المسؤولين بواسطة المسؤولين 
الآخرين في تلك الكيانات» لاسيما خلال الفترة التي يجري فيها اعداد التقارير. 

(g)‏ يقومون بتقييم فاعلية الضوابط الداخلية لمحرر الأوراق التجارية خلال ٠١‏ يوماً قبل 
صدور التقرير. 

(د) أن يقدموا في التقرير استنتاجاتهم حول فاعلية الضوابط الداخلية اعتماداً على تقييمهم 
لها اعتباراً من ذلك التاريخ. 
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مستند (Y-V6)‏ | مقتطفات من قسم 107 من قانون ساربينز أوكسلي 
قسم 7. مسؤولية الشركات عن التقارير المالية. 


'(ج) عقوبات جنائية: 


o )١( ” '‏ يقدم أي تصريح كما هو منصوص عليه في الفقرتين (D)‏ و(ب) من هذ القسم مع علمه Ob‏ 
التقرير الدوري المصاحب للتصريح لا ينسجم مع جميع الشروط المنصوص عليها في هذا القسم يُعاقب 
١,‏ دولار أو السجن مدة لا تزيد على ٠١‏ سنوات» أو بكليهما معاء أو 


۲ (۲) من يقدم عمدا أي تصريح كما هو منصوص عليه في الفقرتين Ô‏ و(ب) من هذا القسم مع علمه 
بآن التقرير الدوري المصاحب للتصريح لا ينسجم مع جميع الشروط المنصوص عليها في هذا القسم 
يُعاقب بغرامة لا تزيد على O,‏ دولار أو السجن مدة لا تزيد على dus ٠١‏ أو بكليهما معا. ””. 


مستند (16-”) | قسم 6+6 من قانون ساربينز أوكسلي 


قسم EE‏ تقييم إدارة الرقابة الداخلية. 


(أ) التنظيمات المطلوبة: تقوم الهيئة بكتابة التنظيمات المفروضة على كل تقرير سنوي 
والمطلوبة بموجب المادة (IW)‏ أو (310) من قانون الأوراق المالية لعام VAY‏ رقم )15 U.S.C.‏ 


((78m, 780 (d‏ لاحتواء تقرير رقابة داخلي يقوم بما يلي: 


(Y)‏ توضيح مسؤولية الإدارة في إنشاء إجراءات وهيكلة الرقابة الداخلية والحفاظ عليها وذلك 
لإعداد التقارير المالية. 


(Y)‏ تتضمن : تتضمن تقييم لفاعلية إجرا ءات وهيكلة الرقابة الداخلية لمحرر الأوراق التجارية وذلك لإعداد 
التقارير المالية كما في تقرير نهاية السنة المالية لمحرر الأوراق التجارية. 


(e)‏ تقييم الرقابة الداخلية واعداد تقارير بذلك: فيما يتعلق بتقييم الرقابة الداخلية ,التي تتطلبها 
الفقرة ).2 يجب على كل شركة محاسبية مطروحة للتداول «els!‏ » والتي تعد أو تصدر تقارير 
مراجعي الحسابات لمحرر الأوراق التجارية, أن تشهد وتقدم d Ji‏ > عن التقييم المقدم من قبل 
إدارة محرر الأوراق التجارية. والشهادة المقدمة بموجب أحكام هذا البند يجب أن تتم وفقا 
لمعايير ارتباطات الشهادة الصادرة أو المعتمدة من قبل مجلس الإدارة. ويجب ألا تكون هذه 
الشهادة موضوع ارتباط منفصل. 





أمن المعلومات وإدارة مخاطر تقنية ا معلومات wA‏ 


الفصل الرابع عشر 


ومن وجهة نظر الأعمال فإن قسم 606 من قانون ساربينز أوكسلي يعرض مفهوم 
التحقق المعتمد على المعايير للرقابة الداخلية. وقبل إجازة قانون ساربينز أوكسلي» كانت 
شركات التدقيق المحاسبي تستخدم الإجراءات الخاصة بها للتحقق من أن عمليات الشركات 
قوية منع الاحتيال. لكن أحداث فقاعة الدوت كوم كشفت أن شركات التدقيق المحاسبي 
يمكن إقناعها من خلال الرسوم ووعود التعاقدات ال مستقبلية للتنازل عن تقييماتها وإعداد 
التقارير المشبوهة. ووفقا لذلك يتطلب قانون ساربينز أوكساي أن يعتمد التحقق من 
الإجراءات الداخلية على قواعد يتم تأسيسها من قبل الحكومة وليس من قبل الصناعة. 
وقد تم عرض قسم 606 من قانون ساربينز أوكسلي.ء كما تم تظليل الجزء الذي له علاقة 
بهدف هذا الكتاب بالخط العريض. 

والنتيجة النهائية هي أنه منذ عام ٠٠١‏ على الشركات التحقق من أن ضوابطها الداخلية 
تتوافق مع lekl‏ التي وضعها قانون ساربينز أوكسلي. ونستعرض فيما يلي وفيما تبقى من 
هذا القسم نظرة dele‏ ذات مستوى yle‏ على المعايير والإجراءات المرتبطة بهذا القانون. 
مجلس المراقبة المحاسبية للشركات العامة (PCAOB)‏ ومعايير تدقيق الحسابات: 

أدى إصدار قانون ساربينز أوكساي إلى إنشاء هيئة باسم مجلس امراقبة المحاسبية 
للشركات العامة (Public Company Accounting Oversight Board)‏ أو اختصارا 
(PCAOB)‏ وفيما يلي نص من الموقع الإلكتروني لهذه المنظمة"": 

مجلس امراقبة المحاسبية للشركات العامة (PCAOB)‏ هي منظمة غير ربحية أنشأها 
المجلس التشريعي للإشراف على (مراجعة حسابات الشركات العامة والوسطاء والتجار 
بهدف حماية المستثمر). ويتطلب قانون ساربينز أوكسلي لعام ٠٠١۲‏ والذي أدى إلى 
إنشاء (PCAOB)‏ أن يخضع مدققو حسابات الشركات العامة في الولايات المتحدة لإشراف 
خارجي ومستقلء وذلك للمرة الأولى في التاريخ. ففي السابق كانت هذه المهنة ذاتية 
التنظيم. ويتم تعيين خمسة أعضاء في مجلس المراقبة ا محاسبية للشركات العامةء Ue‏ في 
ذلك الرئيس» بشكل متناوب ممدة خمس سنوات» وذلك من قبل لجنة سوق امال الأمريكية 
(Securities and Exchange Commission)‏ بعد التشاور مع مجلس محافظي النظام 
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الاحتياطي الاتحادي (Board of Governors of the Federal Reserve System)‏ ووزير 
الخزانة الأمريكية (Secretary of the Treasury)‏ وتشرف لجنة سوق امال الأمريكية 
(SEC)‏ على سلطة مجلس Le (PCAOB)‏ في ذلك الموافقة على لوائح المجلس ومعاييره 
وميزانيته. كما أسس قانون ساربينز أوكسلي Jo‏ أنشطة مجلس (PCAOB)‏ من خلال 
الرسوم السنوية المقررة على الشركات العامة ها يتناسب مع قيمتها AJI‏ والرسوم المقررة 

على الوسطاء والتجار على أساس صافي رؤوس أموالهم. 

وقد أصدر مجلس (PCAOB)‏ معايير لجميع جوانب التدقيق المحاسبي"". والمعايير 
ذات الأهمية الكبرى UJ‏ هي معايير AS)‏ 0(: «تدقيق الرقابة الداخلية على التقارير المالية 
المدمجة مع تدقيق البيانات المالية» ومعايير )12 45)-»تحديد وتقييم مخاطر الأخطاء 
المادية». وتوجه معايير )5 (AS‏ الارتباطات العامة لقانون ساربينز أوكسليء ومن ell‏ 
أن تكون جزءاً من هذه الارتباطات في حال انضمامك للعمل في إحدى شركات التدقيق 
المحاسبي. وضمن التدقيق وفقاً لقانون ساربينز أوكسلي فإن معايير )12 (AS‏ تقدم 
إرشادات لتقنية ا معلومات. 

ويحدد القتسم رقم Y‏ من معيار )5 (AS‏ الاتجاه العام للتدقيق وفقاً لقانون ساربينز 
أوكسلي على النحو التالي: 

.١‏ يجب أن يستخدم المدقق منهج شمول لتدقيق الرقابة الداخلية على التقارير 
d JUI‏ وذلك لتحديد ضوابط الاختبار. ويبدأ «منهج من أعلى إلى أسفل» من مستوى 
القوائم المالية ومن فهم المدقق للمخاطر العامة للرقابة الداخلية على التقارير اطالية. ثم 
يركو المد ف e‏ وا نظ Coliseo i clos aon‏ و يعمل وقول collat]‏ اجات 
ذات الأهمية وتأكيداتها ذات العلاقة. 


ويوجه القسم رقم YA‏ من معيار )5 (AS‏ اطراجعين اماليين إلى الفقرة رقم 5 dlo‏ ملحق 
اا من (AS 12) Jane‏ وذلك للتعامل ضع jT‏ التكتوتوحيا de‏ خطلية اكاد dU‏ 


Yn‏ على المدقق JUI‏ فهم كيف تؤثر التكنولوجيا على تدفق المعاملات التجارية للشركة. 
وعلى المدقق المالي تطبيق الفقرة رقم YA‏ والملحق (ب) من معيار التدقيق Auditing)‏ 
http://pcaobus.org/Standards/Auditing/Pages/default.aspx‏ )17( 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات VY‏ 


الفصل الرابع عشر 


(Standard No. 2‏ وهو معيار «تحديد وتقييم مخاطر تحريف امواد» والذي يناقش 
تأثير تقنية المعلومات على الرقابة الداخلية المتعلقة بالتقارير JUI‏ ومخاطر التقييم. 


ويوجه قسم YS‏ من معيار )12 (AS‏ المدقق ا مالي بشكل أساسي إلى ملحق (ب) من 


امعيار: 


vře 


YA‏ على المدقق IU‏ فهم كيف تؤثر التكنولوجيا على تدفق الصفقات التجارية للشركة 
(انظر ا ملحق ب). 


وأخيراً فإن الملحق (ب) من معيار )12 (AS‏ يتضمن ما يلي: 


الملحق (ب): blä‏ هامة بخصوص الأنظمة والضوابط اليدوية والآلية 


pja de التااخلية للشركة‎ d ol JG للمخاطر المرقيطة‎ (Sj المدقق أن يكوق‎ ue 
المالية والناتجة عن تقنية المعلومات. ومن الأمثلة على هذه المخاطر ما يلي:‎ 


الاعتماد على الأنظمة أو البرامج التي تعالج البيانات بشكل غير دقيق» أو التي تعالج 
بيانات غير دقيقة» أو كليهما. 

الوصول غير المصرح به للبيانات والذي قد يؤدي إلى تدمير البيانات أو إلى تغييرات 
غير ملائمة للبيانات Le‏ في ذلك تسجيل معاملات غير مصرح بها أو غير موجودة أو 
غير دقيقة (مخاطر معينة قد تنشأ عند وصول بعض ال مستخدمين لقاعدة بيانات 
إمكانية حصول موظفي تقنية المعلومات على امتيازات وصول تتجاوز الامتيازات 
اللازمة لأداء الواجبات المنوطة بهم» مما يؤدي إلى تعطيل فصل المسؤوليات. 
تغييرات غير مصرح بها لبيانات في الملفات الرئيسية. 

تغييرات غير مصرح بها على الأنظمة أو البرامج. 


فشل إجراء التغييرات اللازمة على الأنظمة أو البرامج. 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات 


تحليل مخاطر تقنية المعلومات وإدارة المخاطر 


٠‏ التدخل اليدوي غير الملائم. 
٠‏ إمكانية فقد البيانات أو عدم القدرة على الوصول للبيانات كما هو مطلوب. 
ولتسهيل الموضوع, يوضح الشكل V€)‏ -£( المبادئ التوجيهية اممذكورة أعلاه والمرتبطة 
بالتدقيق على تقنية المعلومات وكيفية انتقال معايير التدقيق من قسم إلى آخر. 


الشكل :)2-١6(‏ المبادئ التوجيهية للتدقيق والتابعة لقانون (ساربينز أوكسلي) والمؤثرة في تقنية 
المعلومات 











معيار (5 €(AS‏ فقرة Y‏ 5 : 
br x:‏ معيار )5 €(AS‏ فقرة ۲١‏ معيار (5 85) 
í‏ جيا المعلومات A E‏ : : : . 
Pn D [t j‏ منهج «من أعلى إلى اسفل» تدقيق الرقابة الداخلية 


معيار )12 85)> فقرة 
۹ 






LI €(AS 12) معيار‎ 
(=) 
aal yè 





الوصول NES‏ 
الرقابة الداخلية: 

ما الهدف النهائي لجميع الأنشطة المرتبطة بقانون ساربينز أوكسلي؟ المصطلح 
المستخدم هو «الرقابة الداخلية على التقارير المالية». ويعرف هذا ال مصطلح من قبل 
مجلس (PCAOB)‏ في ملحق (أ) من معيار )5 (AS‏ كما يلي: 

الرقابة الداخلية على التقارير JUI‏ عملية مصممة بواسطة» أو تحت إشرافء الرئيس 
التنفيذي للشركة والمسؤول JUI‏ الرئيسيء أو بواسطة أشخاص يؤدون وظائف مماثلة, 
وتطبق من مجلس إدارة الشركة والإدارة وغيرهم من الموظفينء لتقديم ضمانات معقولة 
بشأن مصداقية التقارير المالية وإعداد القوائم المالية لأغراض خارجية وفقا ل «مبادئ 
ا محاسبة المقبولة (GAAP) «logas‏ وتشمل السياسات والإجراءات التي: 


(Y)‏ تتعلق بالمحافظة على السجلات والتي تحتوي على التفاصيل المطلوبة وتعرض 
المعاملات وترتيب الأصول في الشركة بدقة وإنصاف. 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات vyo‏ 


الفصل الرابع عشر 


(Y)‏ تقديم تأكيد مقبول Ob‏ يتم تسجيل المعاملات عند الضرورة للسماح بإعداد القوائم 
المالية وفقا للمبادئ المحاسيبة المقبولةء وأن تتم إيرادات ونفقات الشركة وفقا لتراخيص 
الإدارة ومديري الشركة. 

(Y)‏ تقديم ضمانات مقبولة بشأن منع الاستحواذ غير المصرح به أو كشف ذلك في 
التوقيت ال مناسب» وكذلك بشأن الاستخدام غير المصرح به لأصول المنظمة التي يمكن أن 
يكون لها تأثير جوهري في البيانات اطالية. 

وتعد الرقابة الداخلية على التقارير المالية مجموعة فرعية من أنشطة الرقابة الشاملة 
في الشركة. وفي مجال قانون ساربينز أوكسليء يمكن تعريف أنشطة الرقابة بأنها الإجراءات 
والأساليب والسياسات التي يستخدمها الشخص المسؤول لتقليل احتمال وقوع الأحداث 
ال محفوفة بال مخاطر إلى مستويات مقبولة. وهذا التعريف ينسجم مع تعريف ضوابط 
تكنولوجيا أمن المعلومات الذي استخدمناه في هذا الكتاب» وهو إجراءات الحماية 
المستخدمة لتقليل أثر التهديدات. 


الضوابط العامة لتقنية المعلومات: 
الجزء الأكبر من أنشطة مراجعة الرقابة الداخلية يتم تنفيذه بواسطة مدققي الحسابات 
والمحاسبين. لكن هؤلاء المتخصصين يعتمدون على خبراء تقنية ال معلومات للمساعدة à‏ 
تقييم الضوابط الموضحة في ملحق (ب) من معيار )12 (AS‏ وتقليدياء تسمى هذه 
الأنشطة بالضوابط العامة لتقنية المعلومات. 
ولا يبدو أن الإصدارات الحالية لمعايير التدقيق المحاسبي تحتوي على تعريف لمصطلح 
«الضوابط العامة لتقنية المعلومات». لكن معيار )2 (AS‏ والذي حل محل معيار )5 (AS‏ 
مدرج à‏ الفقرة رقم rE‏ 
بعض الضوابط (مثل الضوابط التي على مستوى الشركة وا موضحة في فقرة 07) قد 
يكون لها تأثير متزايد في تحقيق الأهداف العامة معايير الرقابة. على سبيل «JULI‏ الضوابط 
العامة لتقنية ا معلومات على تطوير البرامج وتغيبرهاء وعمليات الحاسب «AMI‏ والوصول 
http://pcaobus.org/standards/auditing/pages/auditing standard 2.aspx‏ )18( 


V1‏ أمن المعلومات وإدارة مخاطر تقنية ا معلومات 


إلى البرامج والبيانات Ael Lu‏ في التأكد من أن الضوابط المحددة على معالجة المعاملات 
تعمل بشكل فعال. وفي المقابل فإنه يتم تصميم ضوابط أخرى لتحقيق أهداف محددة 
بلعايير الرقابة. على سبيل JEL‏ تحدد الإدارة Bale‏ ضوابط محددة مثل المحاسبة لجميع 

do‏ حين أن معيار )2 (AS‏ يقدم la‏ فقط bg‏ يقدم تعريف رسمي للضوابط العامة 
لتقنية المعلومات» إلا أن فقرة ٥١‏ تشر إلى تعريف لهذا المصطلح. واستنادا إلى الفقرة 
*0 من معيار )2 (AS‏ يمكن مقارنة الضوابط العامة بالضوابط الخاصة من حيث تقدم 
الضوابط العامة ال منصة الأساسية لإنجاز العديد من الضوابط المحددة. على سبيل «JUL‏ 
إذا كان نظام تقنية المعلومات يسمح للمستخدم أن يسجل المعاملات دون كلمة مرورء 
فإن احتمال المعاملات الاحتيالية يزداد بشكل كبير مما يضعف فاعلية الضوابط الخاصة 
المصممة للتحقق من الأنشطة التجارية ال مختلفة. لذلك يعد الحفاظ على بنية تحتية آمنة 
لتقنية المعلومات من خلال الضوابط العامة أمر مهم للتحقق بشكل موثوق من الأنشطة 
التجارية. وبناء على هذا نعرف الضوابط العامة لتقنية المعلومات بأنها أنشطة الرقابة التي 
تقوم بها تقنية المعلومات والتي تضمن المعالجة الصحيحة للمعاملات التجارية من قبل 
ا منظمة. 

وعند المشاركة المتعلقة بقانون ساربينز أوكسلي فإن خبراء تقنية المعلومات يشاركون في 
تدقيق الضوابط العامة لتقنية المعلومات. 

إجراءات التحقق من الضوابط العامة لتقنية المعلومات كجزء من التدقيق المتعلق 
بقانون ساربينز أوكسلي: 

وفقاً لمبدأ التوجيه «من أعلى إلى أسفل» والتابع لمعيار )5 (AS‏ فإن الصناعة قد وضعت 
الإجراءات التالية لتدقيق الضوابط العامة لتقنية المعلومات على التقارير DR JU‏ 

.١‏ النظر في التقارير المالية للمنظمة. 

". تحديد بنود اممواد: 


http://www.isaca.org/Knowledge-Center/Research/ ومزيد من التفاصيل انظر الرابط التالىي:‎ )١9( 
(2013/1/ResearchDeliverables/Pages/IT-Control-Objectives-for-Sarbanes-Oxley (accessed 1 


أمن المعلومات وإدارة مخاطر تقنية المعلومات vvv‏ 


الفصل الرابع عشر 


UY‏ ما يحتاج المستثمر المتعقل أن يعرفه. 

.٤‏ تحديد العمليات التجارية التي تصب في هذه البنود. 

5. تحديد منصات تقنية المعلومات التي تدعم هذه العمليات-نظم التشغيلء قواعد 

البيانات» التطبيقات. خوادم الشبكات. 

1. التأكد من تحقيق أهداف الضوابط العامة لتقنية المعلومات والمرتبطة بتلك ا منصات. 

Mall ضعف‎ blis إعداد تقرير‎ .V 

الخلل الذي قد يؤدي إلى حدوث تحريف ف التقارير أو أن يظل ذلك التحريف دون 
اكتشاف. 

وهذه العملية تتكرر [Prem‏ وذلك للامتثال لقانون ساربينز أوكسلي. وللعنصر ex‏ 0 2 
äl‏ أعلاه تم تحديد ۱۲ Wb) Baa‏ اعتماداً على أفضل ممارسات الصناعة. متضمنا ذلك 
بنود مثل إدارة التغيير وإدارة البيانات. 


الامتثال فى مقابل إدارة المخاطر: 


المثال المتعلق بقانون ساربينز أوكسلي في مجال الضوابط العامة لتقنية المعلومات على 
التقارير المالية والذي تم عرضه في الجزء السابق يدل على أن الكثير من أنشطة إدارة 
ا مخاطر يتم فرضها بواسطة القانون واللوائح. وفيما سبق عرفنا الامتثال بأنه نشاط es‏ 
القوانين واللوائح والأنظمة والالتزامات التعاقدية ذات العلاقة. وإذا كان الجزء الأكبر من 
إدارة المخاطر يتم تحديده بواسطة القوانين واللوائح» قد تتساءل BU‏ تبذل المنظمة جهداً 
في تطوير خطة إدارة مخاطر خاصة بها اعتمادا على معايير (39- 800 (NIST‏ أو على معايير 
.(ISO 27000)‏ ماذا لا يتم تعهيد إدارة المخاطر للمشرعين وخبراء الصناعة» وتقوم المنظمة 
بالامتثال للقوانين واللوائح ورموز الصناعة وغيرها والتي يطورها هؤلاء الخبراء؟ 

وإذا فكرت في هذا التساؤل سوف تدرك أن الامتثال ليس إلا مجموعة جزئية من إدارة 
المخاطرء ومن ثم فإن الامتثال يتطلب مجموعة صغيرة من أنشطة إدارة ا لمخاطر لمنع وقوع 
(Y+)‏ انظر شكل )١(‏ في صفحة VY‏ من الوثيقة الموجودة في رابط الهامش السابق. 


VA‏ أمن المعلومات وإدارة مخاطر تقنية ا معلومات 


الكوارث التي يمكن أن تؤثر في الآخرين. الامتثال لا ينظم المخاطر التي تؤثر فقط فيك ds‏ 

على سبيل المثالء يحق للمرء أن يبدد دخله على مشتريات لا داعي لها. وطاما أن 
النتائج السلبية لهذه الأنشطة محدودة بالشخص وحده. فلا يوجد أي لوائح أو قوانين تمنع 
الشخص من القيام بتلك الأنشطة. لكن عند قيادة السيارة على الطريق» فإن سلوك الفرد 
الخطر قد يضع السائقين الآخرين في خطر. لذا يُطلب من السائقين الالتزام بقوانين القيادة 
الآمنةء كما تفرض عقوبات صارمة للقيادة تحت تأثير الكحول. 

وبالمثل فإن أنشطة الامتثال التابعة لإدارة مخاطر تقنية المعلومات تضمن أن سلوك 
المنظمة لا يضع ا مستثمرين وا منظمات الأخرى في خطر. لكنك وحدك مسؤول عن التأكد 
من أن أنشطتك Y‏ تضع منظمتك الخاصة في خطر. وإدارة المخاطر تغطي كل ما عليك 
فعله حتى لا تضر نفسك. 


الترويج للأمن: 

ليس من السهل الترويج لأمن تقنية ا معلومات. فالإدارة العليا عادة ما تفكر في «العائد 
على الاستثمار» (Return on Investments)‏ ومن الصعب في كثير من الأحيان قياس 
العائد على شيء «قد» يحدث مثل انقطاع التيار الكهربائي أو حوادث القرصنة. وعلى 
الرغم من سهولة تبرير التكاليف اعتماداً على الحوادث المعروفة والحاليةء ما زالت بعض 
اممنظمات مترددة في تحصيص موارد للأمن. 

وأحد أفضل الإستراتيجيات هي محاولة تحديد نسبة معينة لإنفاقها في مجال الأمن 
في كل مشروع من مشاريع تقنية ا لمعلومات. على سبيل JEL‏ المشروع الذي يتضمن 
«إدارة الهوية والوصول» (Identity and Access Management)‏ قد يتضمن أيضا 
تكلفة البرمجيات اللازمة لتشفير البيانات الشخصية مثل أرقام الضمان الاجتماعي Social)‏ 
(Security Numbers‏ وإذا تم التفاوض على اتفاقية البرمجيات بالشكل الصحيح. فإنه 
يمكن ترخيص نفس البرمجيات لتشمل أيضاً إذن تش xà‏ البيانات المقيدة الأخرى في بقية 
الخوادم. 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات vřą‏ 


الفصل الرابع عشر 


وللأسف فإن واحدة من أسهل الطرق للحصول على التمويل هي الاستفادة من الحوادث 
التي وقعت للمنظمات المشابهة. مثلاً تسرب أرقام الضمان الاجتماعي في الجامعات القريبة 
سيثير دون أدنى شك تساؤلات حول الأمن الداخلي في جامعتك. الطلاب سيتساءلون عن 
كيفية حماية أرقام الضمان الاجتماعيء وقد تتساءل وسائل الإعلام ا محلية عن ذلك أيضا. 
وخلال هذه الأوقات» قد تحصل إدارة تقنية المعلومات على تمويل كبير لتحسين الموقف 
الأمني للبنية التحتية. ومن المهم أن يكون هناك إستراتيجية جاهزة للاستفادة من هذه 
الحالات وألا يتم تبديد تلك الأموال في شراء موارد لا حاجة لها. 


نموذج حالة - الشراء من أسواق الإنترنت: 

في الخامس من ديس مبر من عام 27١1١7‏ أعلن ا مدعي العام الأمريكي للمقاطعة الشرقية 
من مدينة نيويورك اعتقال ستة أشخاص رومانيين وواحد ألباني بتهمة الاحتيال على الزبائن 
الأمريكيين. وذلك في أسواق الإنترنت ال مشهيورة مثل «(AutoTrader.com) s (eBay)‏ 
.(Cars.com)s‏ وتم الاعتقال بتعاون وكالات إنفاذ القانون في رومانياء وجمهورية التشيك, 
والمملكة المتحدة. وكنداء والولايات المتحدة الأمريكية. 

نشر المحتالون إعلانات تفصيلية لسلع باهظة الثمن كالسيارات والقوارب في أسواق 
الإنترنت المشهورة: على الرغم من أن تلك السلع م تكن موجودة في الواقع. واستعان 
المحتالون متآمرين مشتركين معهم والذين يسمون ب «السهام» في الولايات المتحدة لفتح 
حسابات مصرفية باستخدام جوازات سفر مزورة بطريقة عالية الجودة. وقد استجابت تلك 
السهام لطلبات الزبائن المرتقبين» وحصلوا في مقابل ذلك على الأموال. 

وتم تحويل المدفوعات من الضحايا ا مطمئنين إلى خارج الولايات المتحدة بواسطة 
السهام إما نقدا أو عن طريق الحوالة البنكية. و إحدى الحالات تم إرسال ۱۸ ألف دولار 
إلى خارج الولايات المتحدة بداخل مكبرات صوت. وفي حالة أخرى تم استخدام الأموال 
لشراء ساعات باهظة الثمن ومن ثم إرسالها عبر البريد إلى المحتالين. وبلغ مجموع الأرباح 
المقدرة لهذه العصابة Y‏ ملايين دولار. 


المرجع: 


https://www.justice.gov/usao/nye/pr/2012/2012dec05.html 


ve-‏ أمن المعلومات وإدارة مخاطر تقنية ا معلومات 


الملخص: 

في هذا الفصل استعرضنا تحليل ال مخاطر والنماذج المتاحة لتحليل المخاطر. كما 
استخدمنا تحليل ا مخاطر لربط محتويات هذا الكتاب بالأهداف الإدارية الشاملة للمنظمة. 
ومن خلال نموذج )39- 800 (NIST‏ لتحليل اممخاطرء استعرضنا جميع المعلومات الواردة 
في الأجزاء السابقة من هذا الكتاب بشكل يتفق مع المعايير الموصى بها لتحليل المخاطر. 
كما رأينا أن تحليل المخاطر يربط كل تهديد بجميع نتائجه Sahl‏ مما يقدم آلية لقياس 
المخاطر وذلك بهدف امقارنة والتقييم. وناقشنا أيضا نموذج محدد لإدارة المخاطر والمتعلق 
بقانون ساربينز أوكسلي والذي يستخدم من قبل الشركات المطروحة للتداول العام لطمأنة 
ا مستثمرين بمصداقية التقارير اطالية. 


أسئلة مراجعة للفصل: 


.) 


Y 


ما المخاطر؟ وفي رأيك ما أهم ثلاث مخاطر لتقنية المعلومات واجهتها شخصياً؟ 

ما إدارة ا مخاطر؟ اذكر نشاطاً أو نشاطين LSe‏ القيام بها لجعل المخاطر التي 
حددتها في السؤال الأول يمكن التنبؤ بها. 

اذكر blis‏ أو نشاطين يمكنك القيام بها للاستعداد ولتقليل المخاطر التي حددتها 
في السؤال الأول. 


. ما النماذج؟ lbg‏ تستخدم في الإدارة؟ صف باختصار (في جملة واحدة إلى جملتين) 


نموذجا درسته في مادة أخرى. وضح كيف أن استخدام النموذج يساعدك على فهم 
الموضوع ا منظم بواسطة النموذج. 

ما أهداف نموذج )39- 800 *(NIST‏ 

ما أنواع المخاطر التنظيمية المذكورة في نموذج (39- 800 (NIST‏ (صفحة ١ء‏ فقرة 
Y‏ من ال معيار)؟ 

انظر في التقرير الشامل للأداء (10-K)‏ المقدم من قبل شركة (Apple Computer)‏ 
sl)‏ إذا كنت تفضل أي شركة كبرى في مجال تقنية ا معلومات ومطروحة للتداول 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات vej‏ 


الفصل الرابع عشر 


العام مثل .((Microsoft) (Oracle) (Dell) (IBM) (HP)‏ اذكر جميع 
ال مخاطر المحددة بواسطة الشركة على أنها عوامل مخاطر (ولخص كل منها في 
عبارة قصيرة). صنف تلك العوامل بأنها أحد ا لمخاطر التنظيمية المذكورة في نموذج 
(NIST 800 -39)‏ 

۸. قدم لمحة dale‏ عن نموذج إدارة ا مخاطر )39- 800 (NIST‏ ارسم شكلاً يوضح 
عناصر النموذج وعلاقة هذه العناصر فيما بينها. 

9. ما إدارة مخاطر تقنية ا معلومات؟ ما العلاقة بين إدارة مخاطر تقنية المعلومات 
وإدارة المخاطر الشاملة للمنظمة؟ 

٠.ماإطار‏ ا مخاطر كما ورد في تموذج )39 -800 $(NIST‏ وما دور إطار ال مخاطر في 
إدارة مخاطر تقنية المعلومات؟ 

.١‏ ما تقييم مخاطر تقنية المعلومات كما ورد في نموذج (39- 800 S(NIST‏ وما دور 
تقييم مخاطر تقنية ال معلومات في إدارة مخاطر تقنية المعلومات؟ 

.ما الاستجابة لمخاطر تقنية ا معلومات كما وردت في نموذج )39 -800 *(NIST‏ وما 
دور الاستجابة ممخاطر تقنية المعلومات في إدارة مخاطر تقنية ا معلومات؟ 

Ls VY‏ رقابة مخاطر تقنية ا معلومات كما وردت في نموذج )39 -800 $(NIST‏ وما دور 
رقابة مخاطر تقنية المعلومات في إدارة مخاطر تقنية المعلومات؟ 

ع ١.ما‏ العلاقة بين ال مخاطر والتهديدات؟ 

0.أثناء مرحلة تحديد المخاطر كمرحلة من مراحل تقييم المخاطرء ما البنود التي يجب 
معرفتها لتحديد المخاطر؟ 

7.كتب المخاطر التي حددتها في السؤال الأول على شكل عبارات مخاطر وذلك باتباع 
الأمثلة الموجودة في هذا الفصل. وحدد بوضوح جميع عناصر المخاطر في كل عبارة 
من عبارات المخاطر. 

۷.لكل خطر من المخاطر المحددة في سؤال «VY‏ واعتماداً على «ol‏ 558 احتمال وتأثير 


vey‏ أمن المعلومات وإدارة مخاطر تقنية ا معلومات 


كل خطر. وباستخدام هذه التقديرات» قم بقياس كل خطر من تلك المخاطر ورتبها 
استنادا إلى تلك التقديرات. 


.قدم للحة موجزة عن سلسلة معايير )27000 (ISO‏ والتي وضعتها المنظمة الدولية 
للمعايير (150). وما العلاقة بينها وبين معايير (39 -800 $(NIST‏ وإذا كان عليك 
اختيار واحد من هذين المعيارين» فأي معيار ستختار كمعيارك المرجعي لإدارة 
مخاطر تقنية المعلومات؟ وماذا؟ 

.هدم dl‏ موجزة عن منهجية (OCTAVE)‏ والتي وضعت بواسطة معهد هندسة 
39( ومعيار )27000 (ISO‏ من جهة أخرى؟ 

٠.ما‏ هي بعض الأحكام المهمة التي حددها قانون ساربينز أوكسلي؟ 

١؟.ما‏ هي بعض الاختلافات الهامة بين الأحكام في أقسام (Y Y)‏ و )££( من قانون 
ساربينز أوكسلي؟ 

”.ما الرقابة الداخلية كما تم تعريفها في قانون ساربينز أوكسلي؟ 

”.ما معايير التدقيق المحاسبي؟ 

٤.اشرح‏ باختصار إجراءات التدقيق المحاسبي التي تتم «من أعلى إلى أسفل» وذلك 
أوكسلي. 

s. YO‏ الفرق بين إدارة المخاطر والامتثال؟ 

أسئلة على نموذج الحالة: 
.١‏ اقرأ إعلان مكتب المدعي العام من خلال الرابط الموجود في هذه الحالة. واذكر ما 


تعرفه من الآليات التي يستخدمها المحتالون لإقناع العميل ال مرتقب بصحة إعلاناتهم 
التجارية. 


أمن ام معلومات وإدارة مخاطر تقنية ا معلومات Ver‏ 


الفصل الرابع عشر 


؟. بناءً على هذه الحادثةء ما الاحتياطات التي تنصح بها صديقك الذي يفكر في شراء 
سلعة باهظة الثمن من الإنترنت؟ 


نشاط التدريب العملي - تقييم المخاطر باستخدام الأمر (1506): 


في هذا النشاطء سوف تتعلم استخدام الأمر (Isof)‏ لمراجعة الأوامر المستخدمة في 
اتصال الشبكة ولإجراء تقييم المخاطر لآلة لينكس الافتراضية. 


وللبدء انتقل إلى الحساب ذو الامتيازات العاليةء وقم بتشغيل الأمر (Isof -i)‏ وذلك 
مشاهدة جميع اتصالات الشبكة ال مفتوحة: 


veg‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


DEVICE SIZE/OFF NODE NAME 
OtO TCP *:ssh (LISTEN) 
OtO TCP *:ssh (LISTEN) 
0t0 UDP *:ntp 
0t0 UDP *:ntp 
00 UDP v6.sunshine.edu:ntp 
010 UDP [fe80::a00:27ff.fef6:cadf]:ntp 
00 UDP sunshine.edu:ntp 
0t0 UDP 10.0.2.15:ntp 
OtO TCP *:mysql (LISTEN) 
000 TCP sunshine.edu:smtp (LISTEN) 
OtO TCP v6.sunshine.edu:smtp (LISTEN) 
010 TCP *:http (LISTEN) 
0t0 TCP *:amqp (LISTEN) 
0t0 TCP *:amqp (LISTEN) 
0t0 UDP *:domain 
01:0 TCP *:domain (LISTEN) 
0t0 UDP *:domain 
01:0 TCP *:domain (LISTEN) 
000 UDP *:bootpc 
010 TCP *:http (LISTEN) 
010 TCP *:http (LISTEN) 
010 TCP *:http (LISTEN) 
010 TCP *:http (LISTEN) 
010 TCP *:http (LISTEN) 
) 
) 
) 


00 TCP *:http (LISTEN 
00 TCP *:http (LISTEN 
00 TCP *:http (LISTEN 





أمن المعلومات وإدارة مخاطر تقنية ا معلومات 


11438 


13558 nobody 4u 1274 4 
13558 nobody 5u 1274 5 
13558 nobody 611 1276 6 
13558 nobody 711 1276 7 


[alice2sunshine N]$ su - 


Password: thisisasecret 


[root&'sunshine X]£ 1501 -i 

COMMAND  PID USER FD TYPE 
sshd 11083 
sshd 


1862 root 3u IPv4 


1862 root 4u 1276 11085 


ntpd 1870 ntp 16u IPv4 11113 


ntpd 1870 ntp 17u IPv6 11114 


ntpd 1870 ntp 18u IPv6 11118 


1870 ntp 19u IPv6 11119 
ntp 20u IPv4 


ntp 21u IPv4 


ntpd 


ntpd 1870 11120 


ntpd — 1870 1878265 


mysqld 2148 mysql 101 4 


master 2276 root 12u IPv4 11742 


master 2276 root 13u IPv6 11744 


httpd 2316 root 4u IPv6 11985 


qpidd 10u IPv4 
qpidd 11u IPv6 


qpidd 2335 12079 


qpidd 2335 12080 
dnsmasq 
dnsmasq 
dnsmasq 
dnsmasq 
dhclient 13624 root 6u IPv4 1878166 
httpd 
httpd 
httpd 
httpd 
httpd 
httpd 
httpd 
httpd 


31152 apache 4u IPv6 11985 


31153 apache 4u IPv6 11985 


31154 apache 4u IPv6 11985 


31156 apache 4u IPv6 11985 


31157 apache 4u IPv6 11985 


31158 apache 4u IPv6 11985 


31159 apache 4u IPv6 11985 


31160 apache 4u IPv6 11985 





Veo 


الفصل الرابع عشر 


وتقدم لك مخرجات هذا الأمر معلومات مهمة عن البرمجيات التي تعمل على النظام 
مثل: 

(COMMAND) اسم البرنامج الذي يعمل‎ ٠ 

USER) المستخدم الذي يشغل البرنامج‎ e 

(PID) رقم عملية البرنامج‎ ٠ 

(NAME) المنفذ الذي يتصل به البرنامج أو ينتظر عملية الاتصال‎ ٠ 

Als‏ هذه dana Sanc‏ هو عموة (NAME)‏ ويكون فكل المدخلات على الشكل 
التالي: 

server: port (STATE): 

بحيث يكون الخادم هو جهاز الحاسب SI‏ (اسم الجهاز أو عنوان بروتوكول الإنترنت)» 
والعملية تكون متصلة «d‏ والمنفذ هو اسم الخدمة التي تستخدمها العملية. أما رقم المنفذ 
المتصلة به العملية فيتحول إلى اسم خدمة من خلال البحث عنه في دليل (etc/services/)‏ 
ولأن أرقام المنافذ Ge‏ استخدامها في خدمات متعددة, فإن هذا البحث ليس موثوق به 
Ula‏ لكنه يساعد على التخمين الجيد. 

وقوائم الاتصال التي تبدأ بعلامة النجمة (*) لا تكون متصلة بخادم خارجي. هذه 
القوائم تستمع لاتصال معين» ومن ثم فإن حالة الاستماع (LISTEN)‏ تكون مضافة لكثير 
مق هذه CO AL]‏ 

قم بالبحث في الإنترنت عن مزيد من المعلومات حول كل عملية من العمليات ا مدرجة 
في مخرجات آمر (Isof)‏ وقم بتجميع المعلومات في جدول. 


vel‏ أمن المعلومات وإدارة مخاطر تقنية المعلومات 


مثال: 


نعم نعم 123 بروتوكول وقت الشبكة 5180 
Network Time )‏ 
-(Protocol‏ 
هذه الخدمة تعمل على 
تزامن وقت 
النظام مع وقت 
cs‏ الشبكة 


.١‏ في رأيك» ما الخدمات (إن وجدت) التي يمكن أن تمثل خطراً على الأمن وقد تحتاج 
إلى تعطيل؟ 

Y‏ بدلا من تعطيل الخدمة, ما الضوابط الأخرى التي يمكن وضعها للتقليل من 
المخاطر؟ 


تمرين التفكير النقدي-تقديرات المخاطر المتحيزة: 

في السنوات الأخيرة» كان هناك الكثير من الأبحاث حول كيفية تحيز الأشخاص في تقييم 
المخاطر. ويقول كاس سنشتاين (Cass Sunstein)‏ وهو أحد أبرز الباحثين القانونيين 
في عصرناء «الثقافات المتنوعة تركز على مخاطر مختلفة جداء مع الضغوط الاجتماعية 
وضغوط الأقران التي تبرز بعض المخاوف وتقلل من مخاوف أخرى. الاندفاعات» وتوفر 
الحدس المهني» وفقد Aal SI]‏ واستقطاب المجموعة. كلها أمور ذات أهمية هنا». ds‏ 
مقال في صحيفة نيويورك تاهز» وصف البروفس ور جاريد دياموند (Jared Diamond)‏ 
كيف يتجاهل الناس ا مخاطر عندما يكون احتمال حدوثها في كل فرصة منخفضء حتى لو 
كان هناك تكرار كبير جداً لتلك الفرص مثل قيادة السيارة. وف مجال بحثي متصل يُسمى 
ب «الإدراك الثقافي» يقول البروفسور دان كاهان (Dan Kahan)‏ من جامعة ييل Yale)‏ 
(University‏ «الثقافة تسبق الحقائق» وذلك أن الناس يقبلون بشكل Lal‏ ويرفضون 
الحقائق بالطريقة التي تدعم وجهات نظرهم. 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات vev‏ 








الفصل الرابع عشر 
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أسئلة على تمرين التفكير النقدي: 
À‏ خلال تقييم مخاطر تقنية à‏ ية «oL sls]‏ ما هي بعض الطرق التي يؤدي فيها التحيز 
في التقدير إلى المبالغة في تقدير المخاطر غير المهمةء والتقليل من ال مخاطر المهمة؟ 
Y‏ يشار إلى أن المبالغة في تقدير المخاطر تؤدي بالضرورة إلى عدم التقدير التام لبعض 
ا لمخاطر الهامة. هل تتفق مع هذا التقييم؟ علل إجابتك. 


تصميم حالة: 

الآن وبعد أن انتهيت من هذا المقرر الدراسيء حان الوقت أن نقدم الخلاصة. في مثالنا 
أنك عملت à‏ جامعة ولاية الشمس امشرقة طدة عام دراسي إلى الآنء وقد طلب منك مدر 
E MENT‏ تفا ا خا اة قم بإنشاء تقنيم مبسط للمخاطر استنادا 


إلى جميع تصميم الحالات التي عملت عليها إلى الآن في هذا الكتاب. وفيما يلي بعض 
الإرشادات: 


VEA‏ أمن المعلومات وإدارة مخاطر تقنية ا معلومات 


٠‏ قم مراجعة وإعادة تقييم جميع «تصميم الحالات» في جميع الفصول في هذا 
الكتاب من أجل إعداد وثيقة لتقييم ال مخاطر. 

٠‏ اجعل وثيقة تقييم المخاطر سهلة القراءة. 

٠‏ استخدم الرسوم البيانية لتوضيح النقاط. 

٠‏ قارن الوضع الحالي لجامعة ولاية الشمس المشرقة بجامعات أخرى كلما أمكن ذلك. 

٠‏ ابحث التحديات الممكنة التي يمكن أن la‏ التقنيات الجديدة. 


٠‏ أنهى الوثيقة ببعض النقاط المقترحة لتحسين الحالة الأمنية للجامعة. 


ملحق أ: قائمة بكلمات المرور لآلة لينكس الافتراضية 

يوجد بعض الحسابات المهيئة مسبقا لآلة لينكس الافتراضية والمستخدمة في التدريبات 
العملية في هذا الكتاب. ويتضمن الجدول التالي بعض الحسابات التي تم استخدامها في 
التدريبات العملية. وللحصول على قائمة كاملة للحسابات وكلمات المرورء افتح الدليل 
التالي (root/passwords.list/)‏ في محرر نصي على الآلة الافتراضية. 


VUES 
Clun ML 





أمن المعلومات وإدارة مخاطر تقنية المعلومات VES‏ 


المصطلحات 


المصطلحات: 


vo. 


253 عملية تحديد الوصول الذي يستحقه كل‎ :(Access audit) تدقيق الوصول‎ ٠ 


sU‏ على البيانات المقدمة من سجل الشخص والسياسات الأمنية الحالية. 

التحكم في الوصول (Access control)‏ هو تقييد الوصول إلى موارد نظم المعلومات 
للمصرح لهم فقط من المستخدمين والبرامج والعمليات والنظم. 

نماذج التحكم في الوصول «(Access control models)‏ توضيح gab‏ توافر الموارد في النظام. 
قائمة التحكم في الوصول :(Access control list)‏ هي قائمة من الأذونات تتبع 
مكونات محددة. 

نظام إدارة الوصول :(Access management system)‏ جميع السياسات» 
والإجراءات والتطبيقات التي تأخذ البيانات من سجل الشخص ونظام السجلات 
بهدف اتخاذ قرار بشأن منح صلاحيات الوصول للموارد. 

سجل الوصول :(Access registry)‏ الأداة التي توفر لمسؤولي الأمن رؤية موحدة 
لحسابات وأذونات الأفراد عبر المنظمة بأكملها. 

النشاط (Action)‏ هو العمل الذي يقوم به الوسيط للتأثير على خصوصية الأصل 
أو تكامله أو جاهزيته. 

الدليل النشط :(Active Directory)‏ هو مجموعة من التقنيات التي توفر المركزية 
لإدارة المستخدم وللتحكم في الوصول لكافة الأجهزة الموجودة في نفس المجال. 
خدمات الارتباط الاتحادي للدليل النشط Active Directory Federation)‏ 
715 خدمة توسيع نظام الدليل النشط لدعم وصول الارتباط الاتحادي 
إلى الموارد المحلية والخارجية باستخدام بروتوكول «لغة تمييز التأكيدات الأمنية» 
والبروتوكولات الأخرى. ويشار لها اختصارا (ADFS)‏ 


التهديد المتقدم الدائم :(Advanced persistent threat)‏ وهو هجوم بشري متواصل 
ومكثف يتم من خلاله رفع المدى الكامل لتقنيات التسلل لأجهزة الحاسب JYI‏ 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات 


المصطلحات 


:(Anomaly-based detection) أنظمة كشف التسلل اممعتمدة على الانحرافات‎ ٠ 
هي عملية الكشف عن الانحرافات بين الأحداث الملاحظة وأنماط النشاط المحددة.‎ 

٠‏ الأصول :(Asset)‏ هي الموارد أو المعلومات التي يجب حمايتها. 

٠‏ أهمية الأصول (Asset criticality)‏ هي مقياس لمدى أهمية الأصل للبقاء الحالي 

٠‏ مالك الأصل :(Asset owner)‏ هو فرد أو وحدة هملك مسؤولية تشغيلية لجميع 
الوظائف غير المتوقعة والمرتبطة بتأمين الأصل. 

o‏ حساسية الأصول (Asset sensitivity)‏ هي مدى الضرر الذي يحدث للمنظمة 
بسبب اختراق خصوصية الأصول أو انتهاك تكاملها. 

٠‏ المصادقة (Authentication)‏ هي العملية التي يقوم فيها المستخدم بإثبات أنه 
امالك للهوية التي يتم استخدامها. 

٠‏ المصادقة المعتمدة على الرمز المشترك :(Authentication token)‏ هي استخدام 
مُعرف فريد أو دالة تجزئة مشفرة تثبت هوية المستخدم بملكيته للرمز. 

e‏ الجاهزية :(Availability)‏ هي ضمان الوصول الموثوق للمعلومات واستخدامها 
في الوقت المناسب. 

a2 VI .‏ 83 الحيوية :(Biometric devices)‏ هي أجهزة تحلل الفروق الدقيقة 
في بعض ال مواصفات الجسدية أو السلوكية. مثل بصمات الأصابع أو Ja‏ الأوعية 
الدموية في العين» وذلك لتحديد هوية الفرد. 

o‏ العلامات الحيوية :(Biometric markers)‏ هي الفروق المادية التي مكن 
ملاحظتها بين الناس. 

٠‏ تشفر ا مجموعات :(Block encryption)‏ هو عملية تحويل مجموعات النص 


أمن المعلومات وإدارة مخاطر تقنية المعلومات voj‏ 


المصطلحات 


Vor 


هجوم القوة الغاشمة :(Brute-force attack)‏ هو الطريقة التي يحاول قراصنة 
الحاسب من خلالها الوصول إلى حساب على النظام المستهدف وذلك محاولة 
«تخمين» كلمة !2354 الصحيحة. 

تجاوز سعة المخزن المؤقت :(Buffer overflow vulnerability)‏ هي الحالة التي 
يقوم فيها برنامج بوضع المزيد من المعلومات في مكان التخزين أكثر مما يستطيع 
تحليل تأثير العمل :(Business impact analysis)‏ هو تحديد الخدمات 
وامنتجات البالغة الأهمية للمنظمة. 

بروتوكول خدمة المصادقة المركزية Central Authentication Service)‏ 
:(protocol‏ هي أحد التقنيات الرائدة في «تسجيل الدخول الأحادي» ا مفتوحة 
التوثيق :(Certificate)‏ هو مجموعة من المعلومات تحتوي على المفتاح العام 
المشفر للخادم» كما تحتوي على التعريف بزود المفتاح. 

al‏ تغبير الدليل (4ء): هو الأمر الخاص بتغيير الدليل والذي يسمح بالتبديل إلى 
دليل آخر. ويتم تحديد اسم المجلد المستهدف كمعامل للأمر. 

خاصية المجموع الاختياري :(Checksum)‏ هو قيمة يتم حسابها بناء على البيانات 
بهدف كشف الأخطاء أو كشف التلاعب في البيانات أثناء الإرسال. 

مصطلح :(Ciphertext)‏ هو النص مشفر غير ا مفهوم للقارئ. 

الحوسبة السحابية «(Cloud computing)‏ هي تقديم البرامج وغيرها من موارد 
الحاسب الآلي عبر الإنترنت كخدمة وليس كمنتج منفصل. 

الامتثال :(Compliance)‏ هو عملية اتباع القوانينء والأنظمة, والقواعد. ورموز 
الصناعة» والالتزامات التعاقدية. 

حوادث أمن الحاسب :(Computer security incident) JN‏ هي انتهاك أو 
تهديد وشيك بانتهاك سياسات أمن الحاسب JII‏ أو سياسات الاستخدام المقبولء 
أو ممارسات الأمان الموحدة. 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات 


المصطلحات 


٠‏ كلمات :(Compromised passwords) 43354 js,‏ هي SLS‏ مرور 
موجودة على النظام ويعرفها مستخدمون غير مصرح لهم. 

٠‏ الخصوصية :(Confidentiality)‏ هي الحفاظ على القيود المرخصّة للإذن بالدخول 
على الأنظمة والإفصاح عن المعلومات Le‏ في ذلك وسائل حماية الخصوصية الشخصية 
والمعلومات السرية. 

° الضط :(Configuration)‏ هو اختيار مجموعة مواصفات النظام من بين 
ا مجموعات الممكنة. 

٠‏ الضوابط الأمنية (Controls)‏ هي الإجراءات الوقائية المستخدمة للحد من تأثير 
التهديدات. 

٠‏ أنشطة الرقابة :(Control activities)‏ هي الإجراءات والأساليب والسياسات التي 
يستخدمها الشخص المسؤول لتقليل احتمال وقوع الإحداث المحفوفة با مخاطر إلى 

٠‏ بيانات الاعتماد (115اه0606): هي جزء (أو أجزاء) من المعلومات المستخدمة 
في J‏ قق من هوية ا تخدم. 

٠‏ البرمجة النصية المشتركة للمواقع الإلكترونية :(Cross-site scripting)‏ هي ثغرة 
تحدث عند استخدام المدخلات المجهزة من قبل المستخدم دون إجراء التحقق 
اا عرد ون ال ات I E‏ اغوي 

٠‏ تحليل الشفرات :(Cryptanalysis)‏ هو فن كسر النص مشفر. 

٠‏ خوارزمية التشفير :(Cryptographic algorithm)‏ هي تسلسل من الخطوات 
ا مستخدمة وا محددة بشكل جيد لوصف عمليات التشفير. 

٠‏ الكتابة السرية للبيانات :(Cryptography)‏ هي الفن أو العلم الذي يقوم بتسليم 
معلومات لا يمكن فهمها واستعادة المعلومات المشفرة في شكل مفهوم. 


أمن ام معلومات وإدارة مخاطر تقنية ا معلومات Vor‏ 


المصطلحات 


vot 


الجدر النارية للفحص العميق للحزم :(Deep packet inspection firewalls)‏ 
هي أدوات تقوم بفحص البيانات التي تحملها الحزمة, بالإضافة إلى فحص الحقول 
العلوية لبروتوكول الحزم» وذلك لاتخاذ قرار بشأن كيفية التعامل مع الحزمة. 

حالة السماح الافتراضي (Default allow stance)‏ : هي حالة ضبط الجدار الناري 
بحيث يسمح لجميع الحزم à‏ الشبكة باستثناء تلك ال محظورة صراحة. 

حالة الرفض الافتراضي (Default deny stance)‏ : هي حالة ضبط الجدار الناري 
الأصول اممؤجلة :(Deferrable asset)‏ هي الأصول اللازمة للتشغيل JULI‏ للمنظمة 
لكن فقدان جاهزيتها لا يسبب مشكلات كبيرة للمنظمة في الأجل القريب. 

ا منطقة منزوعة السلاح :(Demilitarized zone)‏ انظر تعريف الشبكة المحيطة 
(perimeter network)‏ 

رفض الخدمة :(Denial of service)‏ هو المنع غير المصرح به من الوصول إلى 
ا موارد أو تأخير العمليات الحساسة ذات الوقت الحرج. 

التوقيعات الرقمية :(Digital signatures)‏ هي تحويلات مشفرة من البيانات 
تسمح مستقبل البيانات بإثبات مصدر البيانات (عدم التنصل) وتكاملها. 

الكارثة :(Disaster)‏ هي حادثة مفجعة تتسبب في دمار كبير. 

التعاني من الكوارث :(Disaster recovery)‏ هي العملية التي تقوم بها منظمة تقنية 
المعلومات من أجل إعادة الأنظمة الاحتياطية وتشغيلها. ويشار إليها اختصارا (DR)‏ 
خدمة الاكتشاف :(Discovery service)‏ هي خدمة تقدم للمستخدم áélà‏ 
با لمنظمات الموثوق بها والتي يمكن الاختيار من بينها للمصادقة. 

هجمات رفض الخدمة ال موزعة :(Distributed denial-of-service attack)‏ هي 
عبارة عن استخدام العديد من الأنظمة المخترقة لإحداث رفض الخدمة لمستخدمي 
النظام المستهدف. ويشار إليها اختصارا (DDoS)‏ 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات 


المصطلحات 


٠‏ مراقب المجال «(Domain controller)‏ هو الخادم الذي يطبق قواعد الدليل 
النشط ضمن محال محدد. 

٠‏ التشفير :(Encryption)‏ هو الكتابة السرية للبيانات وتحويلها لإنتاج نص مشفر. 

à dll هي عبارة عن الأمن‎ :(End point protection) حماية نقطة النهاية‎ o 
جهاز المستخدم النهان.‎ 

٠‏ الأصول الضرورية :(Essential asset)‏ هو الأصل الذي إذا ous‏ فقدان جاهزيته 
في عواقب وخيمة وفورية للمنظمة. 

٠‏ المراوغة :(Evasion)‏ هي إجراء نشاط ضار بحيث يبدو أنه آمن. 

٠‏ الإيجابي الخاطئ :(False positive)‏ هو الاكتشاف الذي يبدو أنه مشكلة (ايجابي) 
لكن عند إجراء المزيد من التحقيقات يتبين أنه ليس بمشكلة (أي يكون خاطتا). 

٠‏ الرابطة الاتحادية :(federation)‏ هي الرابطة التي تسد الفجوة بين أنظمة 
المصادقة في ال منظمات ال مختلفة. 

٠‏ البيانات الخاصة بالارتباط الاتحادي (Federation metadata)‏ هي عبارة 
عن مستندات ب «لغة الترميز الممتدة» (XML)‏ تحتوي على قائمة شاملة لأعضاء 
الارتباط الاتحادي» كما تحتوي على بيانات dola‏ مثل معلومات ال منظمة ومعلومات 
التواصل وذلك لكل مزود خدمة ولكل مزود هوية. 


٠‏ مزود الارتباط الاتحادي :(Federation provider)‏ هو الكيان ا مسؤول عن جميع 
المهام الإدارية المتعلقة بإدارة شؤون الاتحاد مثل إدارة العضويةء وصياغة سياسات 
الارتباط وإنفاذهاء وإدارة البنية التحتية للمفتاح العام اللازمة لعمليات التشفير. 


aed! ٠‏ النارية (Firewall)‏ هي شكل من أشكال الحماية التي تسمح لشبكة ما 
بالاتصال بشبكة أخرى مع الحفاظ على مستوى معين من الحماية. 

٠‏ النموذج (Framework)‏ هو هيكل لدعم شيء آخر. 

٠‏ الأصول العامة :(General assets)‏ هي الأصول التي توجد في معظم ال منظمات. 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات voo‏ 


المصطلحات 


voq 


سياسية المجموعة (group policy)‏ هي البنية التحتية التي تسمح بتنفيذ 
ترتيبات محددة للمستخدمين والأجهزة. 

دوال التجزئة :(Hash functions)‏ هي طرق التشفير التي لا تستخدم مفاتيح. 

ا ملفات المخفية (Hidden files)‏ هي ا ملفات التي يتم افتراضياً إخفاؤها عن 
t» Ll‏ مين. 

الدليل الرئيسي :(Home directory)‏ مكان المستخدم الخاص وهو مشابه ممجلد 
المستندات في نظام ويندوز. وهذا المصطلح شائع في أنظمة ينكس. 

أنظمة كشف التسلل المعتمدة على المضيف :(Host-based IDSs)‏ هي تطبيقات 
برمجية مثبتة على ال مضيف الذي يراقب النشاط الداخلي مثل الوصول للملفات 
واستدعاء الأنظمة بهدف اكتشاف الأنشطة المشبوهة. وأحيانا يتم اختصار هذا 
المصطلح على الشكل التالي HIDSs)‏ 

القطع الاحتياطية الساخنة :(Hot spares)‏ هي المكونات الاحتياطية التي تستقر 
داخل الخادم وتحل محل الأجزاء المتعطلة دون حدوث أي تعطل في العمل. 
تحديد الهوية :(Identification)‏ هو عرض هوية المستخدم على النظام. 

المعرف :(Identifier)‏ هو عبارة عن سلسلة من الأرقام التي تُعرف بشكل فريد 
الهوية في نظام السجلات. 

اثراء الهوية :(Identity enrichment)‏ هي جمع بيانات عن علاقة كل فرد 
با منظمة. 

إدارة الهوية :(Identity management)‏ هي عمليات تحديد هوية الأفراد وجمع 
كافة البيانات اللازمة نح أو سحب امتيازات ال مستخدمين إلى الموارد. 

مطابقة الهوية :(Identity matching)‏ هي عملية البحث في السجل الحالي 
للشخص عن السجلات التي تتطابق مع مجموعة معينة من بيانات الهوية. 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات 


المصطلحات 


٠‏ دمج الهوية :(Identity merge)‏ هي دمج السجل الجديد أو المحدث مع البيانات 
المرتبطة بالسجل الحالي للشخص. 

o‏ ملاءمة الهوية :(Identity reconciliation)‏ هي عملية مقارنة كل هوية مكتشفة 
مع سجل رئيسي وذلك لجميع الأشخاص في المنظمة. 

٠‏ الأصول الذاتية :(Idiosyncratic assets)‏ هي الأصول المميزة والخاصة للمنظمة. 

٠‏ سياسة الاستجابة للحوادث الأمنية :(Incident response policy)‏ هي الطرق 
الموحدة ال مستخدمة من قبل المنظمة ف التعامل مع حوادث أمن المعلومات. 

٠‏ الأصول امعلوماتية «(Information asset)‏ هي المحتوى الإلكتروني المحفوظ 
والمملوك من قبل فرد أو منظمة. 

٠‏ أمن المعلومات :(Information security)‏ هو حماية كل من ال معلومات ونظم 
المعلومات من الأعمال غير المصرح بها كالوصول أو الاستخدام أو الإفشاء أو الإخلال 
أو التعديل أو التدمير وذلك لضمان التكاملء والخصوصية» والجاهزية. 

٠‏ ضوابط أمن ا معلومات (Information security controls)‏ هي الضمانات 
ا مستخدمة للحد من آثار تهديدات أمن ال معلومات. 

٠‏ تموذج أمن المعلومات (Information security model)‏ هو تمثيل للمكونات 
الأساسية لأمن المعلومات. ويوضح علاقة هذه المكونات مع بعضها البعض» ويستبعد 

٠‏ الضوابط العامة لتقنية المعلومات :(IT general controls)‏ هي أنشطة الرقابة 
التي تقوم بها تقنية المعلومات والتي تضمن المعالجة الصحيحة للمعاملات التجارية 

٠‏ مخاطر تقنية المعلومات :)1١ risk)‏ هي المخاطر المرتبطة باستخدام نظم 
المعلومات في المنظمة. 

dI هو مجموعة من قطع أجهزة الحاسب‎ :(IT system) نظام تقنية ا معلومات‎ ٠ 
والبرمجيات والبرامج الثابتة المهيأة لغرض معالجة وتخزين وإرسال المعلومات.‎ 


أمن المعلومات وإدارة مخاطر تقنية المعلومات voy‏ 


المصطلحات 


VOA 


البنية التحتية كخدمة :(Infrastructure as a Service)‏ هي £394 أعمال تقوم 

المنظمات من خلاله باستخدام معدات وقطع الأجهزة كالمعالجات والتخزين وأجهزة 

التوجيهء وتعرف اختصارا (IaaS)‏ 

الثغرات المتعلقة بالتحقق من صحة المدخلات Input validation)‏ 

:(vulnerability‏ هي الحالة التي يتم فيها استخدام مدخلات المستخدم في البرنامج 

دون التأكد من صحتها. 

التثبيت :(Installation)‏ هو كتابة البيانات اللازمة في المكان المناسب على القرص 

الصلب لجهاز الحاسب الآلي بهدف تشغيل البرنامج. 

التكامل (Integrity)‏ هو الحماية من تعديل المعلومات أو تدميرها ويشمل ذلك 

التأكد من عدم إنكار المعلومات ومصداقية تلك المعلومات. 

الملكية الفكرية :(Intellectual property)‏ هي إبداعات العقل (الاختراعات 

والمصنفات الأدبية والفنية والرموز والأسماء والصور والتصاميم) والتي يمكن 

استخدامها لتحقيق الأرباح» ويشار إليها اختصارا IP)‏ 

الجدار الناري الداخلي s (Interior firewall)‏ الأداة التي تقيد الوصول لشبكة 

ا منظمة الداخلية. 

الوسطاء الداخليون (Internal agents)‏ : هم الأشخاص الذين لهم صلة بالمنظمة 

وغالبا ما يكونون موظفين. 

الشبكة الداخلية «(Internal network)‏ هي موقع جميع الأصول ال معلوماتية 
des olg‏ أنه dat‏ املع 

أنظمة كشف التسلل :(Intrusion detection systems)‏ ھی مكونات مادية 

أو تطبيقات برمجية تراقب أنظمة تقنية ا معلومات لاكتشاف الأنشطة الضارة أو 

اكتشاف انتهاكات سياسات الاستخدام التي أنشئت من قبل مسؤول النظام. وتعرف 

(IDS) اختصارا‎ 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات 


المصطلحات 


٠‏ أنظمة go‏ التسلل :(Intrusion prevention systems)‏ هي تقنيات يتم بناؤها 
على أنظمة كشف التسلل بهدف إيقاف الاختراقات المحتملة. 

٠‏ بروتوكول كيربيروس :(Kerberos)‏ هو بروتوكول مصادقة يسمح للأجهزة الطرفية 
ا موجودة في شبكة غير آمنة للتعريف بأنفسهم وللتعرف على بعضهم البعض» وذلك 
بشكل آمن باستخدام القطع الرمزية. 

٠‏ نواة نظام التشغيل (Kernel)‏ البرنامج الذي يتحكم في مكونات الأجهزةء وإدارة 
الذاكرةء وتنفيذ التعليمات البرمجية على وحدة المعالجة اممركزيةء وإخفاء التفاصيل 
الضمنية لقطع الأجهزة من تطبيقات المستخدم. 

o‏ مسجل اللفاتيح :(Key loggers)‏ هو البرنامج الذي يتعقب ضربات مفاتيح لوحة 
ا مفاتيح في محاولة لجمع أسماء ا مستخدمين وكلمات المرور. 

٠‏ الأصول القانونية المتعلقة بتقنية المعلومات :(IT-related legal assets)‏ هي 
التنظيمات التعاقدية التي توجه استخدام أصول (مكونات الحاسب الآلي المادية) 
والأصول البرمجية داخل المنظمة. 

٠‏ السجل :(Logs)‏ هو سجلات لأداء جهاز الحاسب الآلي. 

٠‏ البرمجيات الخبيثة (Malware)‏ هي البرمجيات أو الرموز المصممة خصيصاً 
لاستغلال جهاز الحاسب الآلي أو البيانات التي يحتويها دون موافقة المستخدم. 

٠‏ ثغرة الأذونات الناقصة :(Missing authorization vulnerability)‏ هي ثخرة 
تحدث عندما يسمح البرنامج للمستخدمين بالوصول إلى أجزاء متميزة من البرنامج 
دون التحقق من بيانات اعتماد ا مستخدم. 

ه بيان الرسالة :(Mission statement)‏ هو تعبير قصير (يفضل أن يكون جملة 
واحدة أو جملتين) عن خدمات المنظمة: والسوق المستهدفء واميزات التنافسية. 

٠‏ النموذج :(Model)‏ هو تمثيل للعالم الحقيقي. 

٠‏ الرقابة :(Monitoring)‏ هي الاستماع و/ أو تسجيل لأنشطة النظام بهدف الحفاظ 
على الأداء والأمن. 


أمن المعلومات وإدارة مخاطر تقنية المعلومات vog‏ 


المصطلحات 


ve 


الاستبدال الأحادي الأبجدي :(Mono-alphabetic substitution)‏ هو نظام 
التشفير القائم على استبدال حروف منفردة بحروف أخرى بهدف التشفير. 
معرفة ما نحتاجه :(Need-to-know)‏ هو مبداً لإدارة المعلومات يتم بناء عليه 
توفير المعلومات الضرورية فقط لأداء العمل. 

الجدر النارية للشبكات (Network firewalls)‏ هي مكونات مادية أو برمجية 
تمنع الأخطار التي تنشأ في شبكة ما من الانتشار إلى شبكة أخرى. 

أنظمة كشف التسلل ا معتمدة على الشبكة (Network IDS)‏ هي أنظمة تراقب 
خاصة في موقع ما (مزود الخدمة) إلى موقع آخر (العميل). 

برمجيات jJ all‏ المفتوح :(Open source software)‏ هي البرمجيات التي 
يستطيع أي شخص أن يعدل في شفرتها الأصلية ويقوم بنشر تعديلاته في جميع 
أنحاء العام. 

المسؤوليات التشغيلية (Operational responsibilities)‏ : هي مسؤولية الفرد 
أو الوحدة عن وظيفة محددة تتعلق باستخدام أحد الأصول. 

أنظمة التشغيل systems)‏ 6228م 0): هي برمجيات تدير مكونات أجهزة 
الحاسب الآلي وتوفر الخدمات العامة لتطبيقات المستخدم. 

تحديث البرمجيات (Operating system updates)‏ هو استبدال ال مكونات 
المعيبة للبرامج بمكونات أخرى خالية من تلك العيوب التي تم تحديدها. 

الجُذر النارية لتصفية الحزم (Packet filtering firewalls)‏ الجُدر النارية التي 
تقوم بفحص الحقول العلوية لبروتوكول الحزم التي تتدفق من خلال الجدار الناري 
لتحديد ما ]15 كان سيُسمح للحزمة بالدخول للشبكة. 

تحسس رزم البيانات :(Packet sniffing)‏ وهو عبارة عن القيام باعتراض ومراقبة 
البيانات التي تمر عبر شبكة أجهزة الحاسب الآلي. 


أمن المعلومات وإدارة مخاطر تقنية ا لمعلومات 


المصطلحات 


٠‏ الدليل الأم :(Parent Directory)‏ هو الدليل (المجلد) الذي b‏ مباشرة بعد 
الدليل الحالي في التسلسل الهرمي. 

٠‏ الشركاء :(Partners)‏ وهم أي طرف ثالث يتقاسم علاقة العمل مع المنظمة. 

٠‏ عبارة المرور :(Passphrase)‏ هي سلسلة من الكلمات التي تمثل كلمة السر. 

٠‏ كلمة المرور :(Password)‏ هى سلسلة من الرموز السرية التى لا يعرفها سوى 
ماعب الاو وزقوم a aab‏ للمصاوقة على digi‏ ` 

٠‏ التقاط كلمة المرور (Password capturing)‏ هو قدرة أحد المهاجمين على الحصول 
على كلمة المرور من مكان حفظهاء أو أثناء إرسالهاء أو من معرفة المستخدم وسلوكه. 

٠‏ كسر كلمات المرور :(Password cracking)‏ هو عملية توليد سلسلة من الرموز 
التي تطابق أي سلسلة من سلاسل كلمات المرور الموجودة على النظام المستهدف. 

٠‏ انتهاء صلاحية كلمة ا مرور :(Password expiration)‏ هو تحديد امدة التي هكن 
خلالها استخدام كلمة المرور قبل أن يكون مطلوب من المستخدم أن يقوم بتغييرها. 

٠‏ تخمين كلمات المرور «(Password guessing)‏ القيام المتكرر بتجريب كلمات 


مرور مختلفة» مثل كلمات ال مرور الافتراضية وكلمات القاموس. إلى أن يتم العثور 
E‏ كلم الزوذو E‏ 


٠‏ إدارة كلمات امرور :(Password management)‏ هي عبارة عن عملية تحديد 
سياسات كلمات ال مرور وتنفيذها والحفاظ عليها في جميع أنحاء المنظمة. 


o‏ سياسات كلمات المرور :(Password policy)‏ هى مجموعة من القواعد ذات 
العلاقة باستخدام كلمات المرور. | 

o‏ استبدال كلمة ال مرور :(Password replacing)‏ هو استبدال كلمة امرور الحالية 
للمستخدم بكلمة مرور أخرى لا يعرفها إلا المهاجم. 

o‏ مزامنة كلمات الممرور :(Password synchronization)‏ هي خدمة لضمان أن 


ا مستخدم لديه نفس اسم المستخدم وكلمة ال مرور à‏ جميع الأنظمة. 


أمن ام معلومات وإدارة مخاطر تقنية ا معلومات V1‏ 


المصطلحات 


vw 


التصحيح (Patch)‏ هو برنامج يعمل على تصحيح المشكلات الأمنية والوظيفية في 
البرمجيات والبرامج الثابتة. 

إدارة التصحيحات :(Patch management)‏ هي عملية تحديد التصحيحات 
والحصول عليها وتثبيتها والتحقق منها. 

محيط الجدار الناري :(Perimeter firewall)‏ هو جدار الحماية الذي gib‏ بين 
الشبكة الخارجية وا منظمة. 

الشبكة المحيطة (perimeter network)‏ هي الشبكة التي تقع بين الشبكة 
الخارجية والشبكة الداخلية للمنظمة. وتقوم الشبكة المحيطة باستضافة الخدمات 
الخارجية مثل بروتوكول انتقال النص التشعبي (http)‏ وبروتوكول نقل البريد 
الإلكتروني (smtp)‏ ونظام اسم المجال (DNS)‏ وتسمى أيضا المنطقة منزوعة 
السلاح. 

الإحلال :(Permutation)‏ هو تحديد مكان ال مخرجات لكل ٠٠٠١‏ بت من المدخلات. 
سجل الشخص (Person Registry)‏ هو المحور المركزي الذي يربط المعرفات من 
جميع نظم السجلات في هوية رئيسية واحدة ويجعل من ارتباط وانتقال بيانات 
الهوية (مثل الرقم الجامعي والرقم الوظيفي) أمراً ممكنا. 

إنشاء الهوية :(Identity creation)‏ الوظيفة التي تقوم بإنشاء سجل جديد 
ومعرف جديد تابع له ويكون ذلك في سجل الشخص. 

رقم التعريف الشخصي :(Personal identification number)‏ هو كلمة مرور 
عددية قصيرة تتكون من € إلى 1 أرقام. ويشار إليه اختصارا (PIN)‏ 

الانتحال :(Phishing)‏ هو محاولة اختراق مستخدم ما عن طريق التنكر كجهة 
موثوق بها في التواصل الإلكتروني. 

الضوابط المادية :(Physical controls)‏ وهي عبارة عن استخدام الأساليب 
التقليدية غير التقنية لمنع الضرر. 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات 


المصطلحات 


٠‏ السياسات :(Policy)‏ هي وثيقة تسجل مبادئ رفيعة المستوى أو مسار العمل 
الذي تم إقراره. 

٠‏ المراقبة الاستباقية :(Proactive testing)‏ هي فحص النظام لمشكلات محددة 
قبل حدوثها. 

٠‏ الضوابط الإجرائية :(Procedural controls)‏ هي عبارة عن خطط محددة 
للإجراءات التي تتحكم في استخدام موارد أجهزة الحاسب الآلي. 

٠‏ الثغرات الإجرائية :(Procedural vulnerability)‏ هي عبارة عن ضعف في 
الطرق التشغيلية للمنظمة والتي يمكن استغلالها لانتهاك السياسة الأمنية. 

Protocol-state-based) أنظمة كشف التسلل المعتمدة على حالات البروتوكول‎ ٠ 
هي أنظمة كشف تسلل تقوم ممقارنة الأحداث الملاحظة بنشاط البروتوكول‎ 5 
المحدد» وذلك لكل حالة بروتوكول بهدف تحديد الانحرافات.‎ 

ه التشفير بالمفتاح العام :(Public-key cryptography)‏ هو طرق التشفير التي 
تستخدم مفتاحين أحدهما للتشفير والآخر لفك التشفير. 

٠‏ المراقبة التفاعلية :(Reactive monitoring)‏ هي كشف وتحليل حالات الفشل 
بعد حدوثها. 

٠‏ التكرارية :(Recursion)‏ هي تحديد وظيفة اعتماداً على ما تقوم به تلك الوظيفة. 

٠‏ توفيرالقطع الاحتياطية :(Redundancy)‏ هو توفير إمكانيات إضافية يتم 

. حماية نقطة النهاية ARE‏ على الشهرة Reputation-based end point)‏ 
:(protection‏ هي gis‏ أمان املف اعتمادا على نقاط الشهرة التي يتم حسابها 

٠‏ الأصول المطلوبة :(Required asset)‏ هي الأصول المهمة للمنظمة 5 الوقت 
نفسه تكون المنظمة قادرة على الاستمرار في العمل لفترة من الوقت حتى إذا كانت 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات vw‏ 


المصطلحات 


Vae 


الأصول المقيدة :(Restricted asset)‏ هي الأصول التي يؤدي الإفصاح عنها أو 
تغييرها إلى عواقب وخيمة على المنظمة. 

المخاطر (Risk)‏ هي مقياس كمي للضرر المحتمل من التهديد. 

تقييم المخاطر :(Risk assessment)‏ تحديد جميع المخاطر التي تواجه المنظمة 
وتجميعها. 

إطار المخاطر (Risk frame)‏ يوضح البيئة التي تتخذ فيها القرارات المعتمدة على 
المخاطرء ويساعد على تأسيس سياق إدارة ال مخاطر. 

إدارة المخاطر :(Risk management)‏ هي إدارة التأثيرات المالية للأحداث غير العادية. 
مراقبة المخاطر :(Risk monitoring)‏ هي تقييم فاعلية خطة إدارة المخاطر 
للمنظمة مع مرور الوقت. 

الاستجابة للمخاطر :(Risk response)‏ هي كيفية استجابة المنظمات للمخاطر 
مجرد تحديدها بواسطة تقييم المخاطر. 

دور الفرد (Role)‏ هي علاقة الفرد با منظمةء ويشار لها أيضاً بالانتماء للمنظمة. 
نظام التحكم في الوصول المعتمد على الدور :(Role-based access control)‏ هو 
نظام هنح الأفراد ذوي الأدوار المحددة امتيازات وصول تتناسب مع أدوار النظام 
ا مناظرة لها. ويشار لها اختصاراً (RBAC)‏ > ويقوم بتعيين أذونات لدور المستخدم 
ya‏ من تعيين أذونات للمستخدم الفردي. 

تقنية التحكم الخفي في جهاز الحاسب :(Rootkits) JYI‏ هي عبارة عن مجموعة 
من البرمجيات تستخدم لإخفاء وجود البرامج الضارة في نظام الحاسب الآلي. 


النطاق :(Scope)‏ هو جزء من سياسة الاستجابة للحوادث الأمنية ويقوم بتحديد 


أهداف هذه السياسة. 


التشفير با مفتاح السر ي :(Secret key cryptography)‏ هي طرق التشفير التي 
تستخدم مفتاحا Reh‏ لكل من التشفير وفك التشفير. 


أمن ا معلومات وإدارة مخاطر تقنية ا معلومات 


المصطلحات 


٠‏ فصل اطهام :(Separation of duties)‏ هي الحالة التي يقوم فيها أكثر من شخص 
بإتمام مهمة كاملة. 

٠‏ اتفاقية مستوى الخدمة :(Service Level Agreement)‏ هي وثيقة تحدد ما 
الذي تقوم به وحدة تقنية المعلومات وكيف تقوم بذلك. وذلك لإنجاز وإدارة 
توقعات العميل أو مالك النظام. 

٠‏ القشرة (shell)‏ هي برنامج نصي يسمح للمستخدم بالتفاعل مباشرة مع نواة نظام 

٠‏ تطبيقات بروتوكول :(Shibboleth)‏ هي تطبيقات لإدارة الهوية مفتوحة المصدر 
وذات بنية تحتية للتحكم بوصول الارتباط الاتحادي ومعتمدة على برتوكول «لغة 
تمييز التأكيدات الأمنية» «(Security Assertion Markup Language)‏ والمعروفة 
اختصارا (SAML)‏ 

٠‏ التوقيع :(Signature)‏ هو سلسلة من البايتات المعروف عنها أنها جزء من البرمجيات 
الضارة. 

o‏ نقطة العطل ال مفردة :(Single point of failure)‏ هي جزء من النظام إذا تعطل 
يؤدي إلى توقف النظام بأكمله. 

٠‏ تسجيل الدخول الأحادي :(Single sign-on)‏ هو التقنية التي تسمح للمستخدم 
بتسجيل الدخول مرة واحدة ومن ثم الوصول إلى جميع الموارد gral‏ للمستخدم 
الوصول لها. 

٠‏ الهندسة الاجتماعية :(social engineering)‏ وهي فن التلاعب بالناس بهدف 

٠‏ البرمجيات كخدمة :(Software asa Service)‏ وهي آلية لتسليم البرمجيات يتم 
فيها توفير التطبيقات وجميع الموارد ا مرتبطة بها إلى المنظمات عن طريق مُورد 
البرمجيات كخدمة وتتم من خلال متصفح الإنترنت. ويشار إليها اختصار (SaaS)‏ 


أمن ام معلومات وإدارة مخاطر تقنية ا معلومات 10 


المصطلحات 


vn 


الأصول البرمجية :(Software assets)‏ هي الأدوات البرمجية اللازمة ممعالجة 
معلومات ال منظمة بهدف تحقيق رسالة المنظمة. 

تحديث البرمجيات «(Software update)‏ هو التحديث الذي يصلح مشكلات 
المكونات المنخفضة المستوى لبرمجيات النظام» ويتم تطويرها وإصدارها مباشرة من 
مورد النظام. 

الثغرات البرمجية :(Software vulnerability)‏ هي أخطاء في مواصفات أو تطوير 
أو ضبط البرمجيات بحيث ينتهك تنفيذ تلك البرمجيات سياسة الأمان. 

ثغرات حقن اللغة الاستفسارية الإنشائية المركبة (SQL injection vulnerability)‏ 
ويقصد بها استخدام مدخلات لغة ال (SQL)‏ غير المتحقق منها في التطبيقات. 
امعيار :(Standard)‏ هو مجموعة محددة من القواعد المقبولة والمعتمدة من قبل 
العديد من المنظمات. 

إخفاء المعلومات :(Steganography)‏ وهو إخفاء ا معلومات بطريقة Y‏ يشك أحد 
à‏ وجودها. 

الاستبدال :(Substitution)‏ هو تحديد مخرجات ٠٠٠١‏ بت (k-bit)‏ لكل ٠٠٠١‏ 
بت (k-bit)‏ من المدخلات. 

إدارة الأنظمة :(System administration)‏ هي مجموعة من الوظائف التي 
توفر خدمات «ee JI‏ وتضمن الثقة في العمليات» وتعزز الاستخدام الفعال PhU‏ 
وتضمن تحقيق أهداف جودة الخدمة المحددة. 

مسؤول النظام :(System administrator)‏ هو الشخص ال مسؤول عن العمليات 
نظام السجلات :(System of Record)‏ هو النظام الذي يحتوي السجلات التي 
يمكن من خلالها استرداد المعلومات بالاسم. أو رقم الهوية» أو الرمزء أو أي معرف 
adea‏ على 4-5 الخضوض للفرة: Jus‏ إلبه (SOR) blet‏ 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات 


المصطلحات 


٠‏ التحديد النمطي لمواصفات النظام :(System profiling)‏ هو تجميع كل الأصول 
التي تم جردهاء وتصنيفها حسب الوظيفة: وفهم الاعتمادية بين تلك الأصول. 

٠‏ مسؤول أمن النظام :(System security officer)‏ هو الشخص ال مسؤول عن وضع 
وتطبيق ومراجعة إجراءات الأمن التشغيلية في المنظمة. 

٠‏ الضوابط التقنية :(Technical controls)‏ وهي عبارة عن الإجراءات الأمنية 
امبنية في نظم المعلومات نفسها. 

٠‏ التهديدات :(Threat)‏ هي القدرات والنوايا وأساليب الهجوم من الأعداء لاستغلال 
أو الإضرار بالأصول. 

* وسيط التهديد :(Threatagent)‏ هو فرد أو منظمة أو مجموعة تقوم goo‏ 

٠‏ نموذج التهديد :(Threat model)‏ هو التفاعل بين الوسطاء والأنشطة والأصول 
الذي يواجه المنظمة. 

٠‏ القطع الرمزية :(Tokens)‏ هي المكونات المادية (أو في حالة القطع الرمزية البرمجية 

٠‏ ثغرة البيانات غير المشفرة :(Unencrypted data vulnerability)‏ هي ثخرة 
تحدث عندما يتم تخزين بيانات حساسة محليا أو عندما يتم نقلها عبر الشبكة 
بدون التشفير السليم. 

٠‏ الأصول غير المقيدة :(Unrestricted assets)‏ هي الأصول التي تختلف عن الأصول 
التي تصنف بأنها مقيدة. وهي البيانات التي إذا ca pa‏ أو تم استعراضها من قبل 

٠‏ ثغرة رفع الملفات غير المقيد :(Unrestricted uploads vulnerability)‏ وهي 
ثغرة تحدث عندما يتم قبول الملفات من قبل البرمجيات دون التأكد من أن الملف 
يتبع مواصفات دقيقة. 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات vw‏ 


المصطلحات 


VA 


إدارة الممستخدم :(User management)‏ هي تحديد حقوق أعضاء المنظمة فيما 
يتعلق بال معلومات الموجودة في المنظمة. 

الفيروسات والدودة الحاسوبية :(Viruses and worms)‏ هي برمجيات تؤثر سلباً 
في أجهزة الحاسب الآلي وتنتشر من خلال الشبكة دون موافقة المستخدم. 

بيان الرؤية (Vision statement)‏ هو بيان يقوم بالإفصاح عن تطلعات المنظمة. 
الثغرات :(Vulnerability)‏ هي blä‏ ضعف في أمن المعلومات تعطي التهديدات 
الفرصة بأن تصبح خطرا على الأصول. 

امزج من محتويات الشبكة الأخرى :(web mashups)‏ هو عبارة عن صفحة ويب 
أو تطبيق تقدم خدمة جديدة من خلال دمج بيانات واحد أو أكثر من واجهة برمجة 
التطبيقات (API)‏ على الإنترنت. 

الاستغلال الفوري :(zero-day exploits)‏ هو تهديد يتم من خلاله اختراق ثغرة 
$ تكن معروفة à‏ برمجيات الحاسب الآلي. 

الزومبي :(Zombie)‏ وهو جهاز حاسب آلي متصل بالإنترنت تم اختراقه لتنفيذ 
المهام الضارة بتوجيه من متحكم عن بعد. 

عملاء الزومبي :(zombie clients)‏ هو برنامج يتلقى الأوامر من جهاز حاسب Ji‏ 


عن بعد ويستخدم جهاز الحاسب المصاب لأداء مهام ضارة وفقاً للتوجيهات التي 
يتلقاها. 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات 





كشاف موضوعات الكتاب 


s 


i 

إثراء الهوية 

إجراءات التدريب 

إجراءات كلمات ال مرور 
أداة سجل النظام (Syslog)‏ 
إدارة الوصول 

إدارة تصحيحات أنظمة التشغيل والتطبيقات 
إدارة كلمات المرور 

الإدراك الثقافي 

إدوارد سنودن 

الأذونات الناقصة 

أساسيات التشفير 
الاستغلال الفوري 

الأصول الذاتية 

الأصول الضرورية 

الأصول العامة 

الأصول المعلوماتية 

الأصول المقيدة 

اكتشاف الهوية 

الامتثال 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات 





۳۹۸ 


۸۹ 


۸۹ 


wv 


6€ 


ear 


EMA 


vev 


1€ 


AV 


۸ 


yay 


YN 


۳۲ 


YN 


YN 


YYA 


۳۹۹ 
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كشاف 
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كشاف 





VV. 


الأمر 
الأمر 
الأمر 
الأمر 
الأمر 
الأمر 
الأمر 
الأمر 
الأمر 
الأمر 
الأمر 
الأمر 


الأمر 


chgrp 
chmod 
chown 
cp 
getfacl 
head 
less 
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rm 
setfacl 


tail 


WwW الأمر‎ 


cà AS dala]‏ التسلل: Basel]‏ على الاتحراقات 
أنظمة كشف/ منع التسلا 


أهمية الأصول 


أهمية الحدث 


أوامر ينكس 


نا 


البرمجة النصية المشتركة للمواقع الإلكترونية 


۷ 


۸ 


1۸0 





أمن ا معلومات وإدارة مخاطر تقنية ا معلومات 




































































البرمجة النصية لقشرة نظام التشغيل 
بروتوكول (OAuth)‏ 

(OpenID) بروتوكول‎ 

بروتوكول كيربيروس (Kerberos)‏ 


البنية التحتية للمفتاح العام (PKI)‏ 


w 

التحديد النمطي مواصفات النظام 
تحسس حزم البيانات 

التحكم في الوصول 

الترميز الثماني 

تسجيل الدخول الأحادي 

التشفير باممفتاح السري 

التشفير بالمفتاح العام 

التصنيف الممهني القياسي 

تطبيقات بروتوكول (Shibboleth)‏ 
تقنيات طبقة المنافذ الآمنة وبروتوكول أمن طبقة النقل (SSL/TLS)‏ 
تقييم المخاطر 

التهديد المتقدم الدائم 


أمن المعلومات وإدارة مخاطر تقنية المعلومات 





ovv 


rv 


eV 


yay 


۹۷ 


کشاف 


VV 

































































كشاف 





VVY 


تهديدات كلمات اممرور 


5 
الثغرات الإجرائية 

الثغرات الأمنية 
الثغرات البرمجية 


3 
الجدر النارية 


(s 

حساسية الأصول 

حماية نقطة النهاية المعتمدة على التوقيعات 

حماية نقطة النهاية المعتمدة على مدى اشتهار البرمجيات الخبيثة 
حماية نقطة النهاية 

الحوادث الأمنية 

3 

خصائص الأصول 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات 





tv. 


AV 


۸۳ 


۸7 


EVV 


vvv 


ESA 


0۰۰ 


EV 


0۹ 


yv" 


Ae 










































































دوال التجزئة 

دودة موريس (Morris Worm)‏ 
الدودة الحاسوبية 

دورة حياة الأصول 


دورة حياة السياسات 


ر 
رسالة المنظمة 

رفض الخدمة 

رفع الملفات الغير مقيد 
الروبوتات الشبكية 
رؤية المنظمة 


س 

سجل الشخص 

سجل الوصول 

سياسة الاستجابة للحوادث الأمنية 


س 


(Heartland Payment Systems) شركة‎ 


(RSA) شركة‎ 
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eo 
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yw 


1۹۰ 


1۸0 


yay 


yw 


£*Y 


OAY 


Ya 


كشاف 


VVY 

































































كشاف 





VVE 


شركة ني جي ماكس 
الشهادات ال مهنية 


e 
عدم التحقق من صحة ال مدخلات‎ 


عملية أورورا وجوجل 


3 
الغش الإلكتروني النيجيري 


ف 
فريق الاستجابة للحوادث الأمنية 
فيروس (ILOVEYOU)‏ 
الفيروسات 


ىو 


قانون إمكانية نقل التأمين الصحي وال مساءلة 


قانون ساربينز أوكسلي 
áo AJ‏ 

(shell) الفشرة‎ 

قشرة باش 

قوائم التحكم في الوصول 


AN 


ya 


1۸€ 


ev 


عضا 


YVO 
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(Security Assertion Markup Language) لغة تمييز التأكيدات الأمنية‎ 


3 

مجلس المراقبة المحاسبية للشركات العامة (PCAOB)‏ 
امحرر السادس 

CIA مختصر‎ 

مزامنة كلمات ال مرور 

المصادقة المعتمدة على الرمز المشترك 

المعهد الوطني للتقنية وا لمعايير 

ملاءمة الهوية 

ملكية الأصول 


أمن المعلومات وإدارة مخاطر تقنية المعلومات 





VY 


yv 


££" 


0۹ 


ery 


vr 


yt 


ev 


tv. 


£Y 


yet 


۳۹۹ 


veg 


كشاف 


VVo 




































































كشاف 





wn 


V 

نشاط التهديد 

نظام التحكم في الوصول اممعتمد على الدور 
نظرية العدد الأولي 

موذج إدارة المخاطر 

نموذج التهديد 

نموذج تقييم المخاطر 


r 
هجمات بيانات الاعتماد الافتراضية‎ 
هجمات تجاوز سعة المخزن المؤقت‎ 
هجمات حقن تعليمات الاستعلام البنيوية‎ 
هجوم القوة الغاشمة‎ 

الهندسة الاجتماعية 


وسيط التهديد 


(Windows Powershell) ويندوز بورشل‎ 


y" 


vvv 


yav 


Y^ 


yv. 
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المترجم في سطور 


د. جعفر بن أحمد عبدالكريم العلوان 


المؤهل العلمي: 
٠‏ دكتوراه في إدارة الأعمال - نظم معلومات - جامعة فرجينيا كومونويلث بالولايات 
المتحدة الأمريكية. 
الوظيفة الحالية: 


٠‏ أستاذ إدارة الأعمال المشارك ومدير إدارة البحوث والاستشارات بفرع معهد الإدارة 
العامة بالمنطقة الشرقية. 


أبرز الأعمال العلمية المنشورة والمقبولة للنشر فى مجلات عربية: 

٠‏ تكنولوجيا الجيل الثاني للحكومة الإلكترونية وعلاقتها بشفافية ا معلومات ورضا 
الموظفين عن العملية الإدارية: دراسة وصفية تحليلية في الأجهزة الحكومية 
السعودية» المجلة العربية للإدارة (مقبول للنشر). 

٠‏ أثر استخدام تكنولوجيا الجيل الثاني للحكومة الإلكترونية على القدرات الإبداعية 
مموظفي الأجهزة الحكومية بمدينة الدمام با مملكة العربية السعودية. مجلة جامعة 
الإمام محمد بن سعود للعلوم الإنسانية والاجتماعية (مقبول للنشر). 

٠‏ الاتجاهات الإدارية المعاصرة في تنمية الموارد البشرية: مراجعة منهجية للأدبيات 
ذات العلاقة. مجلة جامعة الإمام محمد بن سعود للعلوم الإنسانية والاجتماعية 
(مقبول للنشر). 

٠‏ معوقات التخطيط الإستراتيجي في مؤسسات العمل الخيري: دراسة ميدانية على 
للاقتصاد والإدارة, (Y VV)‏ عدد Y‏ مجلد YY‏ 


أمن ام معلومات وإدارة مخاطر تقنية المعلومات VVV‏ 


عوامل الفساد الإداري في الأجهزة الحكومية السعودية من وجهة نظر موظفي 
القطاع الحكوميء مجلة جامعة الملك عبدالعزيز للاقتصاد والإدارة, (Y* VU)‏ عدد 
PA)‏ مجلد Ve‏ 

العوامل اللؤثرة على أنظمة الموارد البشرية الإلكترونية: دراسة ميدانية على منظمات القطاع 
الخاص في المملكة العربية السعودية: المجلة العربية (Y V0) SW‏ عدد V‏ مجلد YO‏ 
السعودية» مجلة العلوم الإنسانية والإدارية التابعة لجامعة الملك فيصلء Y V)‏ 
عدد (Y‏ مجلد .١0‏ 


أبرز الأعمال العلمية المعروضة في مؤتمرات عربية: 


VVA 


الشفافية والمساءلة في مستشفيات 85s‏ الصحة بالمملكة العربية السعودية 
المؤتمر العلمي الثالث لكليات الاقتصاد والإدارة بعنوان الاقتصاد الوطني التحديات 
والطموح» (Y* V)‏ جامعة الملك عبدالعزيزء جدة. 

رضا ا مستفيد عن خدمات مؤسسات العمل الخيري بالمملكة العربية السعودية 
مؤتمر التنمية الإدارية الواقع والطموح» (Y V)‏ جامعة «352Jl‏ الجوف Jas)‏ 
مشترك مع أ. عبدالله إبراهيم الدرازي). 

الحكومة الذكية ودورها في تطوير خدمات الأجهزة الحكوميةء مؤتمر ثقافة خدمة 
العملاء في القطاع الحكومي» (Y * VO)‏ معهد الإدارة العامة» الرياض. 

التقييم الشامل والمستمر لنظام التعلم عن بعد المؤتمر الدولي الثالث للتعلم 
الإلكتروني والتعليم عن بعد: الممارسة والأداء المنشود, (YNY)‏ الرياض. 

دور أنظمة الحكومة الإلكترونية في مكافحة الفساد الإداري: حالة من الحكومة 
الإلكترونية القطرية» مؤتمر التنمية الإدارية في دول مجلس التعاون لدول الخليج 
العربية: تحديات التغيير والتطوير واستشراف (Y * VY) «Jui aul‏ معهد الإدارة 
العامةء الرياض. 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات 


أبرز الأعمال العلمية المنشورة فى مجلات أجنبية: 
Thomas, M., Alalwan, J. Designing a Semantic Tool to Evaluate Web‏ 


Content of Government Websites, (2017) International Journal of 


Public Administration in the Digital Age, 3, 2, 19- 36 


Alalwan, J. Thomas, M. Weistroffer, H. Decision Support Capabilities 
of Enterprise Content Management Systems: An Empirical 


Investigation, (2014) Decision Support Systems, 68, 39 -48 


Alalwan, J. Continuance Intention to Use Government 2.0 Services: 
[he Impact of Citizens Satisfaction and Involvement, (2013), 


International Journal of Electronic Government Research, 9, 3, 58- 74 


Alalwan, J. A Taxonomy for Decision Support Capabilities of 
Enterprise Content Management Systems, (2013), Journal of High 
Technology Management Research, 24, 1, 10 -17 


Alalwan, J. and Weistroffer, H.R Enterprise Content Management 
Research: A Comprehensive Review, (2012), Journal of Enterprise 


Information Management, 25, 5, pp. 441 -461 


Alalwan, J. and Thomas, M. A. An Ontology-based Approach to 
Assessing Records Management Systems, (2012), eService Journal, 8, 


3, 24 -41 


Alalwan, J. IT Resources and the Strategic Conditions to Maintain 
Sustainable Competitive Advantage (2012), International Journal of 


Information, Business and Management, 4, 2, 46 -54 


أمن المعلومات وإدارة مخاطر تقنية المعلومات 


WA 


أبرز الدراسات المعروضة فى مؤتمرات أجنبية: 
e Alalwan, J. Managerial Crisis Information Systems Model: Key‏ 
Success Factors of Crisis Information Systems, (2017) International‏ 


Conference on Business and Economics Studies, Houston, USA 


e Alalwan,J. Harnessing E-Governance Initiatives: Building Competence 
Organizations, (2016) Los Angeles International Business and Social 


Science Research Conference, California, USA 


e Alalwan, J. Recruiters Intention to Adopt Social Information Systems, 
(2014) In Proceedings of the Americas Conference on Information 


Systems, Savannah, USA 


e Alalwan, J. The Exploitation of the Action Research Accumulated 
Knowledge: Analogical Reasoning Perspective, (2014), 7th IADIS 


International Conference on Information Systems, Madrid, Spain 


e Alalwan, J. Continuance Intention to Use Government 2.0 Services: 
A Theoretical Study, (2013), International Research Conference on 
E-Business Management, Dubai, UAE 


٠ Alalwan, J. and Weistroffer, H.R. Strategic Information Systems 
Planning in Saudi Arabian Educational Institutions (2012), In 
Proceedings of the Southern Association for Information Systems, 


Atlanta, USA 


e Alalwan, J. Decision Support and Enterprise Content Management 
Systems: Current and Future Trends (2012), In Proceedings of the 
Southeast Decision Sciences Institute, pp. 702 -709 


VA*‏ أمن المعلومات وإدارة مخاطر تقنية ا معلومات 


Alalwan, J. Influence of Trust, Security, and Privacy on IS Continuance 
Intention: A Theoretical Model (2012), In Proceedings of the 
Southeast Decision Sciences Institute, pp. 158- 165 


Alalwan, J. and Thomas, M. A. A Holistic Framework to Evaluate 
E-government Systems (2011), In Proceedings of the Americas 


Conference on Information Systems, Michigan, USA 


Alalwan, J. and Weistroffer, H.R. Decision Support Capabilities 
of Enterprise Content Management: A Framework (2011), In 
Proceedings of the Southern Association for Information Systems, 


Atlanta, USA 


Alalwan, J. and Thomas, M.A. Designing ERM Ontology to Evaluate 
Records Management - System (2011), In Proceedings of the Hawaii 


International Conference on Systems Sciences, USA 


أمن المعلومات وإدارة مخاطر تقنية Calsslsl‏ 


اللا 


VAY 


مراجع الترجمة في سطور 


أ. د. عبدالله بن عبدالعزيز بن عبدالله التميم 


المؤهل العلمي: 


دكتوراه à‏ علوم الحاسب JI‏ ونظم المعلومات» جامعة برادفورد - بريطانيا. 


المؤهلات العملية: 


أستاذ دكتور بكلية علوم الحاسب والمعلومات بجامعة الإمام محمد بن سعود 
الإسلامية. 

عميد سابق لكلية علوم الحاسب وا معلومات وكلية العلوم بجامعة الإمام. 

مدير برنامج أبحاث تقنية المعلومات المدعوم من مدينة الملك عبدالعزيز للعلوم 
والتقنية. 
عضوية لجان علمية وفنية لأكثر من ثلاثين مؤتمراً tle‏ 

له أكثر من خمسين ورقة علمية في مجلات ومؤتمرات علمية عاللية. 

له خبرات استشارية في العديد من القطاعات الحكومية والخاصة. 

حاصل على عدد من جوائز التفوق والإنجاز ومنها جائزة القائد النموذجي في قارة 
آسيا في القطاع الأكادهي» وذلك خلال حفل جوائز القيادات الآسيوية ۲١۰٠۲‏ الذي 
أقيم في دي. 


أمن المعلومات وإدارة مخاطر تقنية ا معلومات VAY‏ 


اقتباس جزء من هذا الكتاب أو إعادة طبعه بأية صورة دون موافقة 


كتابية من المعهد إلا في حالات الاقتباس القصير بغرض النقد 
والتحليلء مع وجوب ذكر المصدر. 





تم التصميم والإخراج الفني والطباعة في 
الإدارة العامة للطباعة والنشر بمعهد الإدارة العامة - ١٤٤٠ه_‏ 


هذا الكتاب 

إن مشكلات job‏ المعلومات مزعجة ومُكلفة 
ومُستمرة Le‏ فيه الكفاية. لتجعل من أمن المعلومات مهنة 
العصر اديت LES aie jade‏ موضوعا جيرا الاعتمام 
والدراسة: لذاتم تصميم هذا الكتاب ليكون مثابة مقرر 
دراسي مخصص لأمن المعلومات تتم دراسته خلال فصل 
دراسي واحد. ويركز الكتاب على مساعدة الطلاب على 
اكتساب المهارات المطلوبة في سوق العمل المهنية. ويبدأ 
الكتاب مقدمة عن البيثة المهنية لآمن المعلومات. وبعد 
اقتناع الطالب بأهمية هذا الموضوع. يُقدم الكتاب !]39-52 
الأساسي لأمن المعلومات والذي يتكون من الأصول. والٹثغرات 
الأمنية. والتهديدات, والضوابط. وما تبقى من الكتاب 
يستعرض مفاهيم توصيف الأصول. والثغرات الأمنية. 
والتهديدات والاستجابة لها باستخدام التحكم الأمني. 
وينتهي الكتاب بدمج هذه الموضوعات خت المظلة العامة 
لإدارة ا مخاطر التنظيمية. وبنهاية المقرر الدراسي سيكون 
الطالب ملما بكيفية تطور الاهتمام بأمن المعلومات في 
المجتمع. وكيفية استخدام الأطر والنماذج الحديثة للتعامل 
مع تلك الخاوف في بيئة احترافية. 
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